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软件 可 菲 性 方法 


Software Reliability Methods 


用 于 创建 可 靠 软 件 的 形式 化 方法 一 直 处 于 不 断 的 开发 和 改进 之 中 。 最 近 ， 人 们 对 于 形式 化 方法 工具 的 重 
要 组 成 有 了 更 深入 的 理解 ， 从 软 硬 件 开发 业界 逐渐 接受 可 靠 性 工具 这 一 点 就 可 以 体现 出 来 。 

本 书 介绍 了 各 种 能 解决 软件 可 靠 性 问题 的 方法 。 理 想 情 况 下 ， 形 式 化 方法 应 该 用 起 来 直观 ， 学 起 来 简洁 、 
快速 ， 对 开发 过 程 的 影响 微乎其微 。 本 书 对 各 种 方法 进行 了 比较 ， 揭 示 了 它们 各 自 的 优点 和 缺点 ， 同 时 紧 扣 
自动 机 理论 和 逻辑 这 两 个 主题 。 在 尽 可 能 减少 背景 知识 介绍 的 前 提 下 ， 本 书 向 非 专家 读者 描述 了 多 种 技术 ， 
并 且 针 对 软件 工程 领域 的 研究 人 员 和 专业 人 士 介 绍 了 一 些 高 级 技术 。 


本 书 特点 
e 集中 介绍 目前 常用 的 重要 软件 可 靠 性 方法 ， 并 将 它们 互 作 比较 ， 这 些 方法 包括 : 演绎 验证 、 自 动 验证 、 
测试 和 进程 代数 
@ 为 具体 项 目的 软件 选择 过 程 提供 有 用 信息 
@ 提供 了 大 量 的 练习 、 项 目 和 连续 性 的 实例 ， 方 便 读 者 学 习 形 式 化 方法 并 能 够 亲手 使 用 这 些 工具 
e 介绍 了 支持 形式 化 方法 的 数学 原理 
o 对 于 该 领域 未 来 的 研究 方向 ， 以 及 开发 新 方法 和 改进 现 有 技术 提出 了 有 益 的 见解 
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本 书 通 过 大 量 的 形式 化 表示 和 技术 ， 向 读者 提供 了 各 种 用 于 提高 软件 可 靠 性 的 形式 化 方 
法 ， 包 括 演绎 验证 、 自 动 验证 、 测 试 以 及 进程 代数 。 书 中 紧 紧 围绕 逻辑 和 自动 机 理论 这 条 主 
线 ， 比 较 了 各 种 方法 的 不 同 之 处 ， 并 讨论 了 它们 的 优 缺 点 。 

书 中 包含 一 些 在 多 个 章节 中 使 用 的 、 具 有 连续 性 的 实例 ， 有 利于 读者 通过 跟踪 这 些 实例 
来 了 解 不 同形 式 化 方法 的 优 缺 点 。 本 书 还 包括 大 量 的 练习 和 项 目 ， 可 以 使 用 软件 可 靠 性 工具 
来 完成 。 

本 书 适用 于 从 事 软 件 开发 的 广大 读者 ， 尤 其 适合 作为 高 年 级 本 科 生 和 硕士 生 的 教材 和 参 
考 书 。 

Translation from the English language edition; Software Reliability Methods (978-0-387- 
95106-7) by Doron A. Peled. 

Copyright © 2001 Lucent Technologies. Published by Springer Science + Business Media, 
LLC. All Rights Reserved. 
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Software Reliability Methods 


文艺 复兴 以 降 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 的 各 
个 领域 取得 了 垄断 性 的 优势 ; 也 正 是 这 样 的 传统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 家 辈 
出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧 密 地 结合 ， 计 算 机 学 科 中 的 
许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科 学 著作 ， 不 仅 璧 划 了 研究 的 
范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 因 年 月 的 流逝 而 
减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 让， 我国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 入 才 的 需求 日 益 迫 
切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ;而 专业 教材 的 建设 在 教育 战略 上 显得 举 
足 轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 机 科学 发 展 的 几 十 
年 间 积 淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计算 机 教材 将 对 
我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 的 世界 一 流 大 学 
的 必由之路 。 

机 械 工 业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 ”。 自 1998 年 开始 ， 我 们 就 将 工作 
重点 放 在 了 六 选 、 移 译 国外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson, McGraw-Hill, 
Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 良好 的 合作 关系 ， 从 他 
们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, Brain W. Kernighan， 
Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. Ullman, Abraham Silber- 
schatz, William Stallings, Donald E. Knuth, John L. Hennessy, Larry L. Peterson 等 大 师 名 家 的 
一 批 经 典 作品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 究 及 珍藏 。 大 理 石 纹理 的 封 
面 ， 也 正体 现 了 这 套 从 书 的 品位 和 格调 。 

“计算 机 科学 丛书” 的 出 版 工作 得 到 了 国内 外 学 者 的 鼎力 襄 助 ， 国内 的 专家 不 仅 提供 了 中 肯 
的 选 题 指导 ， 还 不 秤 劳苦 地 担任 了 翻译 和 审 校 的 工作 ;而 原 书 的 作者 也 相当 关注 其 作品 在 中 国 
的 传播 ， 有 的 还 专程 为 其 书 的 中 译本 作 序 。 和 馆 今 ,“ 计 算 机 科学 丛书 ”已 经 出 版 了 近 两 百 个 品种 ， 
这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 。 其 影印 版 “经 
典 原版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精细 的 编辑 ， 这 些 因素 使 我 们 的 图 书 
有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完善 和 教材 改革 的 逐渐 深化 ， 教 
育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 人 一 个 新 的 阶段 ,我 们 的 目标 是 尽善尽美 ， 而 反馈 
的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华章 公司 欢迎 老师 和 读者 对 我 们 的 工作 提出 建 
议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


华章 网 站 :; www. hzbook. com 
电子 邮件 : hzjsj@ hzbook. com 
联系 电话 : (010) 88379604 Hz Books 
联系 地 址 :北京 市 西城 区 百 万 庄 南 街 1 号 华章 教育 
华章 科技 图 书 出 版 中 心 


邮政 编码 ，100037 


中 文 版 序 | 
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很 高 兴 看 到 我 的 著作 《Software Reliability Methods》 被 翻译 成 中 文 。 随 着 软件 工业 和 硬件 
工业 的 兴起 ， 研 究 提高 计算 机 系统 质量 的 方法 日 趋 成 熟 ， 并 逐渐 成 为 较 大 的 研究 领域 。 形 式 化 方 
法 已 经 在 莫 勃 发 展 了 ， 这 不 仅 表现 在 大 量 的 国际 会 议和 致力 于 这 方面 研究 的 大 学 教授 上 ， 还 体 
现在 大 公司 里 实际 采用 的 工具 和 开发 小 组 中 。 其 至 有 人 声称 ， 仪 是 投 在 验证 软件 (比如 ， 软 件 测 
试 ) 上 的 精力 ， 就 与 编写 软件 的 投入 旗 壳 相当 。 . 

程序 员 排 错 与 软件 开发 的 历史 一 样 长 。 而 如 今 ， 软 件 规 模 庞 大 ， 参 与 的 开发 人 员 众多 ， 不 再 
允许 把 检测 和 改正 代码 的 责任 加 在 程序 员 自 己 身上 。 同时, 在 人 们 日 常生 活 中 软件 的 广泛 使 用 
使 得 保持 其 正确 责任 重大 。 因 此 ， 软 件 测试 和 验证 往往 由 独立 专家 小 组 使 用 能 将 大 部 分 工作 自 
动 化 的 工具 来 执行 。 

本 书 着 重 论述 在 质量 保证 任务 中 所 用 到 的 主要 方法 ， 其 中 包括 推理 验证 、 测 试 和 检验 ， 此 外 
还 讨论 如 何 协调 这 些 方法 以 及 它们 之 间 的 联系 。 在 20 世纪 60 年 代 后 期 ， 有 学 者 提出 用 推理 验证 
的 方法 来 证 明 程序 的 正确 性 ， 用 基于 逻辑 的 数学 形式 化 方法 描述 的 程序 来 执行 验证 ， 并 开发 了 
证 明 系 统 来 形式 地 证 明 程 序 行为 与 规约 一 致 。 开 发 这 种 证 明 系 统 时 ， 必 须 研究 程序 的 形式 语义 ， 
将 代码 与 程序 行为 及 相关 的 形式 化 逻辑 联系 起 来 。 早 期 的 证 明 系 统 仅 处 理 顺 序 程序 ， 之 后 出 现 
了 能 处 理 并 行程 序 的 证 明 系 统 。20 世纪 70 年 代 后 期 ， 出 现 了 最 早 的 具有 形式 化 定义 的 软件 测试 
方法 ， 并 有 了 理论 基础 ， 此 后 出 现 了 基于 数学 规律 的 代码 采样 和 检查 过 程 ， 因 此 能 够 用 各 种 方法 
提高 测试 的 效率 ， 加 强 测试 的 效果 。20 世纪 80 年 代 初 期 ， 有 人 提出 了 验证 有 限 状 态 系 统 的 自动 
化 方法 ， 即 模型 检验 ， 随 后 出 现 了 各 种 相关 支撑 工具 。 

这 三 种 软件 可 靠 性 技术 在 许多 方面 都 大 相 径 庭 。 对 于 推理 验证 技术 来 说 ， 只 有 能 够 使 用 证 
明 系 统 的 逻辑 学 家 才能 蜀 驭 。 同 时 ， 由 于 其 整个 过 程 基本 上 都 是 细致 繁 融 的 人 力 劳 动 ， 因 此 很 难 
将 其 扩展 应 用 于 大 规模 甚至 中 等 规模 的 代码 。 测 试 是 现 阶 段 保证 软件 可 靠 性 的 最 佳 方法 。 这 种 
技术 往往 不 对 代码 进行 通 彻 的 全 面 检查 ， 也 不 保证 能 找到 所 有 的 编码 错误 或 者 设计 问题 。 但 是 ， 
它 可 以 很 好 地 用 于 大 系统 ， 如 果 仅 从 一 种 技术 所 能 找到 的 错误 以 及 耗 用 的 投资 来 看 ， 它 的 投入 
产 出 比 最 高 。 模 型 检验 使 用 高 端 计算 机 、 借 助 于 高 效 算法 和 数据 结构 的 好 的 研究 成 果 ， 其 最 终 目 
的 就 是 自动 完成 全 面 检验 ， 一 方面 其 检验 的 通 彻 程度 能 与 推理 验证 技术 相 媲 美 ， 另 一 方面 其 在 
大 系统 上 的 运用 效果 能 和 软件 测试 相 匹敌 。 

最 近 十 年 ， 形 式 化 方法 研究 上 进行 了 巨大 投入 ， 其 结果 是 利用 现 有 的 工具 和 技术 ， 我 们 可 以 
用 更 快 、 更 节省 内 存 的 算法 来 检查 更 大 规模 、 更 多 类 型 的 系统 。 部 分 研究 致力 于 发 现 效率 更 高 的 
算法 。 另 一 部 分 研究 的 目标 是 将 不 同方 法 和 技术 组 合 在 一 起 ， 利 用 各 个 方法 的 优点 ,减少 其 限制 
的 影响 ， 完 成 追求 软件 可 靠 性 的 整体 任务 。 结 合 了 验证 的 思路 之 后 ， 测 试 工具 就 可 以 自动 找到 很 
好 覆盖 被 检 系 统 的 测试 用 例 集 ; 组 合 了 测试 和 模型 检验 的 原理 ， 允许 我 们 在 缺乏 完整 的 设计 描 
述 的 情况 下 直接 测试 系统 。 而 用 组 合 、 抽 象 的 技术 ， 我 们 可 以 先 对 代码 的 紧缩 版 本 或 子 集 进行 模 
型 检验 ， 然 后 直接 利用 所 得 到 的 结果 或 者 将 其 与 其 他 结果 组 合 起 来 ， 得 到 对 真正 的 更 大 的 系统 
的 推出 结论 。 
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形式 化 方法 的 研究 牵涉 了 数学 、 计 算 机 科学 中 的 不 同 领 域 。 本 书 中 描述 的 主要 技术 是 基于 
自动 机 理论 和 逻辑 。 而 形式 化 方法 、 技 术 和 工具 中 还 用 到 一 些 更 深 的 思想 ， 比 如 机 器 学 习 、 微 分 
方程 、 数 据 结 构 、 博 弈 论 等 。 经 过 对 其 多 年 的 研究 ， 我 已 经 确信 这 是 最 有 意思 的 研究 领域 。 同 
时 ， 我 也 有 地 见证 了 它 从 仅仅 理论 研究 发 展 到 被 大 的 软 硬 件 公司 部 署 使 用 。 但 是 ， 为 了 追寻 更 高 
效 、 更 好 用 的 技术 ， 还 需要 克服 很 多 困难 ， 解 决 很 多 挑战 。 比 如 说 ， 如 何 自动 根据 形式 规约 生成 
正确 的 代码 ? 尽管 已 经 有 些 很 不 错 的 结果 了 ， 但 这 一 问题 的 研究 仍 处 于 起 步 阶 段 。 

对 这 个 令 人 兴奋 而 又 实用 的 跨 学 科研 究 领 域 ， 我 充满 了 热忱 ， 并 将 其 灌注 在 本 书 行文 当中 ， 
现在 它 被 翻译 为 中 文 并 出 版 ， 作 为 作者 ， 我 最 大 的 希望 就 是 它 能 够 感染 、 打 动 并 帮助 那些 渴望 学 
习 、 使 用 其 至 研制 软件 可 靠 性 方法 的 中 文 读 者 。 


Doron A. Peled 
2012 年 2 月 1 日 


译 者 序 | 
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进入 21 世纪 以 来 , “高 可 信 软 件 ” 先 后 被 美国 、 欧 盟 列 为 优先 资助 的 研究 方向 ， 我 国 科 技 部 
和 国家 自然 科学 基金 委员 会 也 在 2007 年 分 别 为 其 设立 了 重点 项 目 和 重大 研究 计划 ， 由 此 广泛 推 
动 了 国内 高 校 和 科研 单位 在 相关 领域 的 研究 工作 。 译 者 所 在 的 南京 大 学 软件 工程 组 长 期 以 来 一 
直 在 开展 与 可 信和 软件 方法 和 技术 相关 的 教学 和 研究 工作 ，Doron A. Peled 的 《Software Reliability 
Methods》 近 年 来 一 直 被 我 们 用 做 研究 生 的 入门 教材 ， 是 进入 我 们 研究 组 的 研究 生 必 读 的 书籍 。 
该 书 围绕 软件 可 靠 性 较为 全 面 、 系 统 地 介绍 了 相关 方法 和 技术 ， 深入浅出 、 通 俗 易 懂 。 该 书 还 受 
到 了 图 灵 奖 获得 者 E. Clarke 的 大 力 推荐 ， 作 者 本 人 在 相关 领域 也 很 有 建树 。 

2010 年 12 月 底 ， 我 与 来 访 的 机 械 工业 出 版 社 编辑 姚 蓄 女 士 交 流 时 ， 她 了 解 到 我 们 在 用 这 本 
书 ， 建 议 我 们 将 它 翻 译 成 中 文 ， 以 便 让 更 多 的 国内 读者 能 够 深入 理解 作者 的 观点 以 及 书 中 介绍 
的 方法 ， 从 而 在 研究 与 实践 中 放手 尝试 。 我 们 接受 了 她 的 建议 ， 从 2011 年 1 月 初 开始 着 手 翻 译 。 
参与 本 书 翻译 工作 的 主要 是 南京 大 学 计算 机 软件 新 技术 国家 重点 实验 室 、 计 算 机 科学 与 技术 系 
软件 工程 组 的 老师 和 学 生 ， 分 工 情况 如 下 : 王 林 章 〈 第 9，10 章 、 结 束 语 )、 上 下 大 〈 第 5，6 章 )、 
We G7, 8B). KK G84, 11), KEE (第 1，2，3 章 )， 王 林 章 、 李 宣 东 对 全 书 译 稿 
进行 了 统 稿 、 审 校 和 修改 。 在 翻译 过 程 中 得 到 研究 生 崔 展 齐 、 陈 华 杰 、 丁 文 但 、 姜 鹏 、 李 游 、 李 
BH. WR. WAS. Mok A. ERE, WER a. RA. ARS, Ee X u 
(她 ) 们 的 辛勤 劳动 表示 感谢 。 也 感谢 编辑 王 春 华 女士 、 夏 平 女士 为 本 书 所 做 的 大 量 工 作 以 及 耐 
心 等 待 。 

尽管 本 书 的 翻译 工作 前 后 历时 一 年 ， 但 这 是 在 大 家 繁忙 的 教学 、 科 研 以 及 各 项 服务 工作 之 
余 完 成 的 ， 所 以 仍 感到 时 间 紧 张 ， 有些 内 容 的 翻译 表达 仍 不 够 理想 。 我 们 采用 自己 的 研究 方法 来 
理解 原 书 内 容 ， 对 原文 中 我 们 认为 表达 错误 或 不 确切 的 地 方 ， 也 通过 注释 进行 说 明 。 限 于 我 们 的 
水 平 ， 中 文 表达 难免 有 不 当 之 处 ， 在 此 敬 请 读者 批评 指正 。 如 发 现 文字 错误 ， 请 发 邮件 给 王 林 章 


(lzwang@ nju. edu. cn) 。 


王 林 章 
2011 #12 A 31 A 
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我 很 荣幸 能 够 为 Doron Peled 关于 软件 可 靠 性 方法 的 新 书写 序 。 当 我 第 一 次 翻 开 这 本 书 时 ， 
我 立刻 被 这 本 书 的 覆盖 范围 之 广 所 深 深 打 动 ， 它 覆盖 了 下 列 方面 : 

。 规约 和 建 模 

` 演绎 验证 

。 模型 检验 
进程 代数 
。 程序 测试 
状态 与 消息 序列 图 

除了 对 每 个 方法 进行 了 相当 深入 的 介绍 以 外 ， 本 书 还 讨论 了 应 当 在 何 时 选取 何 种 方法 以 及 
在 选择 这 些 方法 时 所 必须 做 出 的 权衡 。 书 中 结合 当前 最 新 的 工具 ， 使 用 很 多 具有 挑战 性 的 实例 
来 说 明 各 种 技术 。 书 中 甚至 告知 读者 在 网 络 上 到 哪里 去 获取 这 些 工具 ! 我 还 没 看 见 过 其 他 任何 
覆盖 同样 内 容 的 书籍 能 达到 如 此 的 深度 。 

同时 ， 本 书 描述 了 应 用 形式 化 方法 的 过 程 : 从 建 模 和 规约 开始 ， 然 后 选择 一 个 合适 的 验证 技 
术 ， 最 后 测试 程序 。 这 些 知 识 在 实 戚 中 是 十 分 必要 的 ， 但 是 却 很 少 在 软件 工程 的 课本 里 面 出 现 。 
绝 大 多 数 相关 书籍 都 重点 关注 某 一 项 技术 ， 例 如 程序 测试 ， 而 没有 覆盖 到 其 他 的 验证 技术 ， 或 者 
对 如 何 将 相关 技术 结合 在 一 起 使 用 进行 讨论 。 由 于 Doron 已 经 为 书 中 所 描述 的 许多 验证 方法 的 发 
展 敌 出 了 重要 的 贡献 ， 因 此 他 对 这 些 关 键 问题 的 相关 见解 非常 重要 。 

这 本 书 适 用 于 参与 软件 开发 的 广大 读者 ， 尤 其 适合 高 年 级 本 科 生 软件 可 靠 性 课程 或 者 硕士 
阶段 软件 工程 课程 使 用 。 实 际 上 ， 书 中 非常 充分 地 标注 了 相关 进 阶 文献 ， 这 些 文献 可 以 用 做 从 事 
代码 验证 的 软件 工程 师 或 者 形式 化 方法 方面 研究 人 员 的 参考 书目。 

我 刚刚 和 Doron 一 起 合作 完成 了 一 本 关于 模 潭 检验 技术 的 书 ， 在 此 过 程 中 ， 他 作为 计算 机 科 
学 家 的 智慧 与 作为 作家 的 写作 技巧 给 我 留 下 了 深刻 的 印象 。 我 确信 这 本 书 将 会 取得 巨大 的 成 功 。 
我 向 所 有 对 软件 可 靠 性 问题 感 兴趣 的 读者 强烈 推荐 这 本 书 。 


Edmund M. Clarke 
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许多 书籍 描述 了 如 何 通 过 应 用 形式 化 方法 来 提高 软件 的 质量 。 然 而 ， 大 多 数 书籍 都 是 围绕 
着 某 个 特定 的 方法 ， 并 将 该 方法 作为 软件 可 靠 性 问题 的 推荐 解决 方案 。 本 书 通 过 大 量 的 形式 化 
符号 表示 法 和 技术 ， 向 读者 呈现 了 形式 化 方法 更 加 全 面 的 描述 。 书 中 将 会 比较 它们 之 间 的 不 同 
之 处 ， 并 讨论 它们 的 优点 与 缺点 。 

形式 化 方法 的 主要 挑战 之 一 在 于 怎样 将 研究 人 员 开 发 出 的 技术 传播 到 软件 开发 社区 中 去 。 
最 近 一 段 时 间 ， 我 们 似乎 开始 对 形式 化 方法 工具 的 重要 组 成 部 分 有 了 更 好 的 理解 。 这 表现 为 此 
类 工具 越 来 越 多 地 被 软 、 硬 件 开 发 业界 所 接受 。 理 想 情况 下 ， 形 式 化 方法 必须 可 以 被 直观 地 使 用 
(最 好 是 使 用 图 形 化 界面 );， 不 要 求 使 用 者 花费 大 量 的 学 习 时 间 ， 并 且 在 开发 过 程 中 只 产生 比较 小 
的 额外 开销 。 相 比 于 10 年 或 20 年 前 ， 形 式 化 方法 更 容易 被 人 们 所 接受 ， 这 在 硬件 领域 尤为 显 
其。 然而， 不同 的 方法 之 间 仍 然 存在 激烈 的 争论 。 

本 书 重 点 是 通过 一 系列 技术 来 讲述 形式 化 方法 的 主要 原理 。 有 很 多 在 撰写 本 书 时 已 有 的 先 
进 技术 没有 包括 在 本 书 中 。 这 些 先进 的 技术 涉及 实时 系统 和 混成 系统 、 描 述 规约 的 形式 化 体系 ， 
以 及 一 些 专用 的 数据 结构 ， 比 如 二 元 决策 图 。 本 书 没有 包含 这 些 特 定 的 技术 ， 但 这 并 不 意味 着 本 
书 中 的 方法 优 于 它们 ， 而 是 因为 本 书 描述 的 算法 和 方法 已 经 应 用 于 目前 最 先进 的 软件 可 靠 性 工 
其 中 了 。 挑 选 出 来 这 些 方法 仅仅 是 想 以 举一反三 的 方式 来 表现 形式 化 方法 这 一 主题 。 然 而 ， 挑 选 
时 总 是 不 可 避免 地 倾向 于 选择 和 我 的 研究 方向 比较 接近 的 主题 。 人 贯穿 本 书 的 主线 是 逻辑 和 自动 
机 理论 。 有 兴趣 的 读者 可 以 在 相关 章节 后 列 出 的 其 他 书籍 和 研究 论文 中 找到 这 些 高 级 方法 的 
细节 。 
如 果 没 有 直接 使 用 相关 工具 的 实际 经 验 ， 对 形式 化 方法 的 学 习 就 是 不 完整 的 。 本 书包 含 了 
大 量 的 练习 和 项 目 ， 可 以 使 用 软件 可 靠 性 工具 来 完成 它们 。 书 中 还 有 一 些 在 多 个 章节 中 使 用 的 、 
其 有 连续 性 的 实例 。 学 习 形式 化 方法 并 且 了 解 其 优点 和 缺陷 的 一 个 有 效 方法 是 跟踪 理解 这 些 跨 
章节 的 实例 。 在 一 些 情况 下 ， 后 面 的 章节 会 详 述 某 个 在 前 面 章节 的 练习 部 分 提 到 的 连续 性 实例 。 
这 样 做 的 另 一 个 目的 是 帮助 读者 检查 对 前 面 章节 练习 的 解答 〈 而 不 是 仅仅 提供 一 个 明确 的 答 
案 ) 。 我 们 鼓励 读者 去 检查 所 获得 的 关于 这 些 例子 的 直觉 感受 可 否 帮 助 改 进 他 们 对 之 前 练习 的 
解答 。 

书 中 提供 的 绝 大 部 分 练习 和 项 目 可 以 选择 某 个 工具 来 完成 。 尽 管 一 些 软件 可 靠 性 工具 要 求 
不 菲 的 许可 费用 ， 但 是 很 多 工具 允许 出 于 非 副 利 目的 免费 使 用 。 使 用 这 些 工 具 通 常 需要 从 这 些 
工具 的 万 维 网 页 下 载 并 按照 网 页 上 的 指示 进行 安装 。 相 关 章 节 后 面 列 出 了 一 些 工 具 和 相应 网 页 。 
需要 注意 的 是 ， 即 使 有 些 工具 不 需要 取得 许可 证 就 可 以 使 用 ， 它 们 也 常常 要 求 使 用 者 向 工具 的 
开发 者 发 送 一 份 信件 ， 同 意 遵守 工具 的 使 用 条 款 。 在 许多 情况 下 ， 这 些 条 款 限 定 工具 只 能 用 于 学 
术 目 的 ， 并 且 开发 者 不 对 因 使 用 工具 而 可 能 造成 的 损害 负责 。 由 于 网 页 和 网 址 往往 会 变更 ， 同 时 
也 因为 新 的 工具 不 断 被 开发 出 来 蔡 代 已 有 的 工具 ， 因 此 我 不 能 保证 书 中 列 出 的 网 页 信息 一 直 有 
效 。 此 外 ， 本 书 不 能 够 保证 这 些 工 具 可 以 在 任何 环境 下 都 正常 工作 。 

不 同 的 团体 对 形式 化 方法 有 不 同 的 兴趣 ， 当 然 不 可 能 写 出 一 本 对 项 目 经 理 、 软 件 开 发 人 员 、 
质量 保证 团队 和 研究 人 员 具 有 相同 吸引 力 的 书 ， 但 是 我 仍然 尝试 着 在 书 中 加 入 令 每 个 读者 群 中 
的 成 员 都 感 兴趣 的 内 容 。 因 此 ， 读 者 在 阅读 的 时 候 可 以 跳 过 那些 理论 性 或 技术 性 太 强 的 章节 。 应 
当 指 出 的 是 ， 本 书 的 重点 主要 是 技术 ， 而 不 是 方法 学 。 

本 书 在 描述 一 些 形式 化 方法 的 同时 还 给 出 了 相应 的 算法 ， 理 解 这 些 算法 对 于 运用 这 些 方法 


K 


并 不 是 必 不 可 少 的 ,但 是 理解 它们 可 以 更 加 深入 地 了 人 解 这 些 方法 的 工作 原理 。 本 书 省 略 了 大 多 
数 和 书 中 的 形式 化 方法 相关 的 数学 证 明 ， 但 有 时 会 包含 简略 的 证 明 ， 以 便 增 加 读者 的 直观 理解 。 

作者 在 此 感谢 下 面 这 些 参 与 和 本 书 相 关 的 启发 性 讨论 并 提出 有 益 建 议 的 人 员 ; Nina Amla, 
Christel Baier, David Basin, Shai Ben-David, Roderick Bloem, Glenn Bruns, Ed Clarke, Dennis 
Dams, Xiaoqun Du, Kousha Etessami, Amy Felty, Elsa Gunter, Doug Howe, Orna Kupfer- 
man, Bart Knaack, Bob Kurshan, Bengt Jonsson, Leonid Libkin, Anca Muscholl, Kedar Nam- 
joshi, Wojciech Penczek, Kavita Ravi, Natarajan Shankar, Natasha Sharygina, Marian Srenby, 
Richard Tefler, Wolfgang Thomas, Moshe Vardi, Igor Walukiewicz, Thomas Wilke, Mihalis 
Yannakakis 和 Lenore Zuck。 事 实 上 ， 写 这 本 书 的 最 大 收获 之 一 是 有 机 会 从 实践 者 和 专家 就 某 些 
特定 主题 给 出 的 建议 和 评论 中 进一步 学 习 。 

我 并 不 是 第 一 个 引用 刘易斯 。 卡 洛 尔 〈Lewis Carroll) 的 探险 小 说 2 中 的 词句 的 。 但 是 ， 鲜 
为 人 知 的 是 Charles Lutwidge Dodgson (笔名 是 Lewis Carroll) 是 一 个 研究 逻辑 可 视 化 表示 的 数 
学 家 。 他 的 “biliteral”( 丙 字母， 和 “triliteral” (三 字母 ， 图 是 卡 诺 图 的 前 身 。 卡 诺 图 能 够 用 一 
种 易 教 易学 的 方式 来 表示 逻辑 ， 这 也 是 很 多 形式 化 方法 的 最 新 研究 趋势 。 


Doron Peled 
2001 年 3 月 于 新 泽 西 州 英 雷 山 





日 ”本 书 中 所 引 《Alice’s Adventures in Wonderland) 中 记名 的 中 文 翻译 引 自 陈 复 庵 先生 所 翻译 的 《 阿 丽 
i s 丽 思 漫游 奇 
境 记 》 《中 国 对 外 翻译 出 版 公司 1987 年 版 )， 所 引 《Through the Looking Glass) 中 词句 的 中 文 翻译 引 自 许 季 鸿 
Fe EEN SEE Bie) 《文化 艺术 出 版 社 1986 年 版 )。 本 书 译 者 将 书 中 主人 公 名 译 成 “爱丽 
丝 ”。 一 一 译 注 
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“请 示 了 陛下， 我 从 哪儿 念 起 ?” 他 问 道 。 “从 一 开头 念 起 ,'” 国 王 非常 庄重 地 说 ， “ESER 


K, KERE.” 
刘易斯 ， 卡 洛 尔 《爱丽 丝 漫游 奇 境 记 》 


在 1999 年 年 底 ， 整 个 世界 忧虑 地 等 待 着 2000 年 的 到 来 ， 人 们 忧虑 的 重点 是 控制 要 害 系统 的 
计算 机 可 能 会 造成 一 些 潜 在 的 破坏 。 日 历 中 年 份 的 变化 和 计算 机 存储 器 中 表示 20 世纪 年 份 的 传 
统 方式 是 可 能 导致 这 些 破坏 的 原因 : 传统 的 方法 仅 使 用 从 oo 到 99 的 两 位 有 效 数字 来 表示 年 份 。 
这 个 出 乎 意料 的 小 细节 使 一 些 人 预感 到 将 会 发 生 的 极 大 损失 。 它 会 影响 到 由 软件 驱动 的 电子 系 
统 ， 例 如 交通 控制 、 核 导弹 、 核 反应 堆 、 银 行 系统 、 抚 恤 金 计划 、 电 力 和 用 水 供应 。 仅 美国 就 花 
费 了 超过 1 000 亿美 元 以 应 对 这 种 危害 ， 这 就 是 “千年 虫 ”。 在 日 期 发 生变 化 的 前 一 刻 ， 一些 人 
躲 进 了 自制 的 避难 所 ， 同 时 手电 简 和 瓶装 水 成 为 普遍 的 需求 。 美 国 和 俄罗斯 的 军事 联合 小 组 则 
在 北美 航空 航天 防御 司令 部 (NORAD) ET 1999 年 12 A 31 日 的 夜晚 ， 他们 共同 监测 天 空 ， 
随时 对 可 能 发 生 的 导弹 计算 机 错误 进行 预警 ， 这 类 错误 可 能 会 导致 导弹 失控 而 自动 发 射 。 午夜， 
1999 年 12 月 31 日 过 去 了 ， 有 时 间 跨 进 了 新 的 千年， 这 期 间 除 了 一 些小 故障 以 外 ， 没 有 发 生 重 大 
的 事件 。 l 

计算 机 系统 已 经 控制 了 我 们 生活 中 的 方方面面 ， 电 话 系统 、 商 店 的 结账 登记 系统 、 票 务 预订 
系统 、 医 疗 系统 、 金 融 系统 都 已 经 高 度 计算 机 化 。 大 多 数 情况 下 ， 计 算 机 之 间 的 金融 数据 通信 已 
经 代替 了 实际 的 纸币 交易 。 计 算 机 甚至 可 以 负责 处 理 民用 飞机 飞行 中 要 求 的 很 多 活动 。 计 算 机 
系统 的 故障 已 经 导致 了 一 些 严 重 的 后 果 ， 其 中 包括 死亡 事故 、 自 动 关 闭 要 害 系统 以 及 金钱 损失 。 

软件 开发 行业 在 过 去 的 数 十 年 里 正 以 史无前例 的 速度 发 展 。 硬 件 成 本 ， 尤 其 是 内 存 价格 不 
断 下 降 。 因 特 网 实际 上 已 经 将 整个 世界 变 成 了 一 个 巨大 的 计算 机 网 络 ， 在 这 个 网 络 里 ， 通 信 、 信 
息 处 理 和 商业 交易 持续 不 断 地 在 线 进 行 着 。 随 着 这 些 技术 的 不 断 更 新 ， 软 件 开发 行业 也 在 发 生 
巨变 。 现 在 ， 由 一 个 天 才 程 序 员 单 枪 匹 马 地 开发 出 整个 软件 系统 的 情况 已 经 不 再 可 能 ， 取 而 代 之 
的 是 ， 数 十 个 甚至 数 千 个 程序 员 一 起 参与 到 开发 过 程 中 。 不 同 的 程序 员 开 发 同一 个 程序 的 不 同 
模块 ， 生 产 出 几 千 行 甚至 数 百 万 行 代码 。 这 些 程序 员 可 能 在 不 同 的 地 方 工 作 ， 甚 至 可 能 素 昧 
平生 。 

毫 不 奇怪 ， 软 件 开发 过 程 中 的 质量 控制 变 得 越 来 越 困 难 ， 确 保 不 同 软件 开发 团队 开发 的 产 
品 能 够 成 功 地 组 合 在 一 起 正确 运行 则 是 一 项 不 简单 的 任务 。 应 对 这 一 问题 的 主要 技术 之 一 是 运 
用 适当 的 设计 方法 学 ， 软 件 工程 学 因此 提出 了 很 多 技术 来 提高 软件 产品 的 质量 。 

正如 许多 软件 工程 方法 所 指出 的 ， 即 使 遵循 了 很 多 优秀 设计 准则 和 优良 编程 规范 ， 程序 可 
能 仍然 包含 错误 。 不 同 的 统计 表明 ， 即使 由 富有 经 验 并 训练 有 素 的 程序 员 来 编写 代码 ， 每 千 行 代 
码 中 总 是 会 包含 少量 错误 。 因 此 ， 使 用 一 些 方 法 来 消除 程序 代码 中 的 人 为 错误 就 变 得 非常 重要 ， 
这 就 是 形式 化 方法 技术 《formal methods technique) 的 目的 所 在 。 多 种 软件 工程 方法 试图 指导 软 
件 的 开发 过 程 ， 但 形式 化 方法 的 目的 是 为 开发 过 程 提 供 一 些 辅助 性 的 技术 和 工具 ， 用 于 发 现 并 
指出 软件 中 的 潜在 问题 。 
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1.1 形式 化 方法 

形式 化 方法 是 一 系列 用 于 描述 和 分 析 系 统 的 符号 表示 法 和 技术 。 这 些 方法 被 称 为 形式 化 方 
法 的 原因 在 于 它们 是 以 一 些 数学 理论 为 基础 的 ， 例 如 还 辑 、 自 动机 和 图 论 ， 它 们 都 致力 于 提高 系 
统 的 质量 。 形 式 化 规约 技术 引入 了 一 种 能 够 准确 、 无 二 义 地 描述 系统 属性 的 方法 。 它 对 于 消除 误 
解 十 分 有 效 ， 也 可 以 进一步 用 于 系统 调试 。 形 式 化 分 析 技 术 能 够 用 于 验证 系统 是 否 满 足 它 的 规 
约 ， 或 者 系统 化 地 发 现 它 不 能 满足 规约 的 情况 。 形 式 化 方法 能 够 减少 查找 设计 或 编码 错误 所 需 
要 的 时 间 。 它 还 能 够 有 效 降低 因为 未 能 在 系统 部 署 之 前 发 现 错误 而 导致 损害 的 风险 。 本 书 中 我 们 
将 会 关注 用 于 软件 的 形式 化 方法 ， 我 们 也 称 之 为 软件 可 靠 性 方法 (software reliability method) 。 

这 些 技术 有 时 由 程序 员 自 己 使 用 ， 但 是 通常 情况 下 ， 使 用 它们 是 专门 的 软件 质量 保证 团队 
的 责任 。 在 后 一 种 情况 下 ， 开 发 人 员 和 那些 关注 可 靠 性 的 人 员 〈 例 如 测试 团队 ) 分 工 合作 ， 以 实 
现 更 为 可 靠 的 软件 为 目标 ， 一 起 创建 有 利 的 协同 工作 方式 。 实 际 上 ， 在 许多 情况 下 ， 质 量 保证 团 
队 的 规模 要 大 于 开发 团队 的 规模 。 

形式 化 方法 研究 的 早期 ， 研 究 的 焦点 是 保证 系统 的 正确 性 。 这 里 所 说 的 系统 正确 性 是 指 系 
统 能 够 满足 客户 提供 的 规约 。 演 绎 软件 验证 (deductive software verification) 技术 是 当时 主要 的 
形式 化 方法 技术 研究 之 一 。 这 一 领域 的 先驱 ， 例 如 Dijkstra、Floyd、Gries、Hoare、Lamport、 
Manna, Owicki, Pnueli 等 ， 提 出 了 不 同 的 可 用 于 验证 程序 正确 性 的 证 明 系 统 。 这 类 技术 的 目标 
是 形式 化 证 明 一 些 关 键 系统 ， 例 如 导弹 、 航 空 控制 。 有 人 建议 验证 方法 也 能 够 用 于 辅助 软 硬 件 系 
统 的 开发 [94]， 根 据 这 一 建议 ， 程 序 开发 时 从 它们 的 形式 化 规约 开始 ， 按 照 逐 步 精 化 的 方式 最 
终 得 到 实际 的 代码 ， 这 个 过 程 中 的 每 个 精 化 步 又 都 保持 了 正确 性 。 

人 们 很 快 认识 到 了 形式 化 方法 的 一 些 局 限 性 。 软 件 验证 方法 不 能 够 保证 实际 代码 的 正确 性 ， 
而 是 允许 人 们 对 实际 代码 的 一 些 抽 象 模型 进行 验证 。 因 此 ， 由 于 真实 系统 和 其 抽象 模型 可 能 有 
所 区 别 ， 所 以 对 模型 的 正确 性 证 明 可 能 对 实际 代码 无 效 。 不仅 如 此 ， 正 确 性 证 明 本 身 可 能 不 正 
确 。 证 明 的 过 程 通常 只 覆盖 了 系统 功能 的 一 小 部 分 。 其 中 的 原因 在 于 验证 是 针对 一 个 给 定 的 系 
统 规约 而 进行 的 ， 而 这 个 规约 是 手工 定义 的 ， 有 些 时 候 它 可 能 不 完整 ， 忽 略 了 系统 的 一 些 重要 属 
性 。 而 事实 上 ， 评 定 一 个 给 定 的 规约 是 否 完整 通常 是 很 困难 的 ， 有 时 其 至 不 可 能 完成 。 尽 管 演绎 
验证 的 某 些 部 分 可 以 自动 完成 ,但 是 一 般 而 言 它 仍 是 一 种 靠 手 工 完 成 的 技术 。 因 此 ， 演 绎 验证 主 
要 通过 很 小 的 例子 进行 展示 ,而且 需要 大 量 的 时 间 和 专门 的 技术 。 

尽管 演绎 软件 验证 有 这 些 局 限 性 ， 但 它 还 是 取得 了 一 些 重要 的 成 就 ， 它 通过 定义 不 变 式 这 
个 概念 影响 了 软件 开发 过 程 。 不 变 式 是 一 个 正确 性 断言 ， 在 执行 过 程 中 ， 它 必须 在 某 些 特定 的 控 
制 点 上 成 立 。 它 断言 了 程序 中 变量 之 间 的 某 些 联 系 。 程 序 员 向 程序 代码 中 添加 术 变 式 可 以 增加 
他 们 对 该 程序 的 运行 方式 的 直观 理解 。 不 仅 如 此 ， 他 们 还 能 够 插入 简单 的 运行 时 检查 代码 ， 以 检 
查 不 变 式 在 特定 的 程序 控制 点 上 真 的 成 立 。 如 果菜 个 不 变 式 不 成 立 ， 程 序 的 正常 执行 就 会 被 中 
断 ， 同 时 给 出 一 个 警告 信息 。 

最 近 ， 新 的 并 且 更 高 效 的 工具 正 不 断 地 开发 出 来 ， 为 演绎 软件 验证 提供 更 好 的 支持 。 这 些 工 
其 试 图 将 部 分 证 明 过 程 机 械 化 。 净 室 方法 [98，99] (本 书 的 后 面 会 讲述 该 方法 ) 是 一 个 非 形式 
化 地 应 用 软件 验证 的 例子 ， 它 与 其 他 软件 可 靠 人性 方法 一 起 被 用 于 一 个 软件 开发 方法 论 中 ， 致 力 
于 提供 高 质量 的 软件 。 

早期 的 自动 化 验证 技术 是 由 West 和 Zafiropulo [146, 150] 提出 的 。 这 些 方法 可 以 用 于 各 种 
有 限 状 态 系 统 (inite state system), 例如 硬件 电路 和 通信 协议 。 美国 的 Clarke、Emerson [28， 
42] 和 法 国 的 Quielle、Sifakis [120] 首先 提出 了 模型 检验 (model chetking) 的 概念 。 该 技术 可 
以 验证 一 个 有 限 状 态 系统 相对 于 给 定 的 时 序 规约 的 正确 性 。 从 较 小 规模 的 例子 (如 交通 信号 灯 


第 1 章 s E 


控制 器 ) 开始 ， 这 些 方法 逐渐 成 熟 并 形成 了 数 百 万 美元 的 工具 产业 。 

新 的 自动 化 和 半自动 化 的 验证 技术 表明 了 自动 验证 方法 的 可 扩展 性 。 这 些 技术 包括 二 元 决 
策 图 [24]、 偏 序 约 减 技术 [55，113，142]、 对 称 约 减 [43]、 归 纳 技术 [81，149]j、 抽 象 技术 
等 。 这 些 技术 证 明了 验证 技术 不 仅仅 局 限于 理论 中 ， 在 实践 中 也 一 样 出 色 。 但 是 ， 在 使 用 自动 验 
证 时 仍然 需要 考虑 到 若干 限制 ， 这 些 限制 包括 处 理 较 复杂 的 数据 结构 (如 队列 和 树 ) 时 效率 低 
下 。 此 外 ， 自 动 验证 方法 通常 局 限于 有 限 状 态 系统 ， 因 而 它们 最 适用 于 验证 通信 协议 和 某 些 算法 
的 抽 稼 表示 。 它 们 可 能 无 法 处 理 那 些 带 有 实数 与 整数 变量 或 带 有 指针 与 数组 引用 的 成 熟 程序 。 
和 演绎 验证 一 样 ， 自 动 验证 技术 也 需要 首先 对 系统 进行 建 模 ， 而 不 是 直接 进行 验证 。 这 样 可 能 会 
造成 被 验证 的 模型 对 象 与 实际 系统 的 不 一 致 。 

软件 测试 《software testing) 也 许 是 使 用 最 为 频繁 的 质量 保证 方法 了 。 它 不 会 提供 对 系统 的 
全 面 检查 ， 软 件 测试 的 重点 是 根据 某 些 覆盖 准则 对 程序 运行 过 程 进行 采样 ， 并 将 程序 的 实际 行 
为 与 程序 规约 中 规定 的 期 望 行为 进行 比较 。 测 试 主要 是 根据 实验 证 据 和 经 验 来 完成 的 ， 并 且 常 
常 通过 非 形式 化 的 方式 完成 。 测 试 方法 的 优点 在 于 能 够 对 一 个 实际 的 系统 ， 而 不 是 系统 的 模型 ， 
进行 检查 。 和 模型 检验 不 同 ， 测 试 并 不 局 限于 有 限 状 态 系统 。 但 是 测试 不 是 和 演绎 验证 、 模 型 检 
验 一 样 的 全 面 性 技术 ， 它 不 能 覆盖 所 有 可 能 的 执行 过 程 。 因 而 即使 是 经 过 彻底 测试 的 代码 ， 其 中 
仍 可 能 包含 错误 。 


一 些 形式 化 方法 术语 


不 同形 式 化 方法 的 研究 者 和 实践 者 以 不 同 的 方式 使 用 验证 (verification) 这 一 术语 。 有 些 时 
候 ， 验 证 仅仅 是 指 获取 系统 的 形式 化 正确 性 证 明 的 过 程 ， 也 就 是 说 狭义 上 的 验证 即 是 演绎 验证 
在 其 他 语 境 下 ， 验 证 是 指 试图 寻找 程序 中 错误 的 任何 活动 ， 包 括 模型 检验 和 测试 。 

因为 本 书 中 讲述 了 不 同 的 形式 化 方法 技术 ， 我们 有 时 候 不 得 不 为 某 些 术语 选择 适当 的 解释 ， 
而 这 些 术语 在 不 同 团体 中 的 解释 可 能 并 不 一 致 。 在 提 到 验证 时 ， 我 们 指 的 是 某 个 手工 或 自动 化 
技术 的 应 用 过 程 ， 这 些 技术 可 以 确定 代码 是 否 满 足 某 个 属性 ， 或 者 它 的 行为 是 否 和 某 个 高 层次 
描述 相符 。 根 据 这 个 定义 ， 我 们 主要 指 的 是 演绎 验证 和 模型 检验 这 两 类 活动 ， 但 不 是 指 测试 ， 因 
为 后 者 更 像 是 抽样 检验 ， 而 不 是 一 个 全 面 的 正确 性 检查 。 

我 们 会 区 分 下 面 两 种 不 同 的 活动 ， 验证 一 个 软件 是 否 符合 特定 的 规约 属性 (property) (有 时 
也 称 作 确 认 (validation) [70])， 以 及 验证 对 软件 的 两 个 描述 之 间 的 一 至 性 (conformance)。 在 
辣 一 种 情况 下 ， 其 中 一 个 描述 通常 包含 更 少 的 细节 ， 即 更 加 抽象 。 


1.2 开发 与 学 习 形 式 化 方法 

形式 化 方法 包括 规约 、 验 证 和 测试 技术 ， 这 些 方法 被 用 于 提高 软件 开发 和 硬件 设计 的 质量 。 
在 过 去 的 20 多 年 中 ， 人 们 认识 到 了 各 种 方法 的 好 处 、 优 势 、 权 衡 和 局 限 人 性 。 理 解 形式 化 方法 的 
局 限 人 性 和 介绍 它们 的 成 功 案例 同样 重要 。 例 如 ， 经 验 表明 计算 方法 比 那些 需要 大 量 人 工 技巧 的 
方法 更 好 。 从 另 一 方面 看 ， 自 动 化 方法 的 处 理 范围 也 有 局 限 性 ， 例 如 它们 常常 只 能 处 理 中 等 规模 
的 有 限 状 态 系统 。 作 为 形式 化 方法 研究 成 熟 的 表现 之 一 ， 人 们 总 是 用 怀疑 的 目光 看 待 那些 试图 
保证 系统 正确 性 的 方法 ， 而 倾向 于 使 用 那些 以 寻找 错误 为 目的 的 方法 。 

各 种 形式 化 方法 的 工具 和 支撑 系统 首先 由 大 学 和 研究 所 的 研究 者 倡导 。 最 近 几 年 中 ， 我 们 
已 经 月 腾 一 些 公司 开发 出 他 们 自己 的 形式 化 方法 和 相应 的 工具 ， 尤 其 是 那些 通信 和 硬件 领域 的 
企业 ， 因 为 其 产品 的 可 靠 性 是 一 个 关键 指标 。 在 其 他 地 方 ， 人 们 开发 了 一 些 接口 工具 ， 将 软件 转 
换 成 现 有 工具 可 以 接受 的 形式 ， 这 些 工具 的 输出 可 能 又 被 转换 回 某 些 规定 格式 。 我 们 也 开始 逐 
渐 看 到 一 些 现 有 的 工具 可 以 增强 软件 的 可 靠 性 ， 但 是 这 些 工具 中 的 大 部 分 都 和 软件 测试 或 软件 


4 


Sie S 


建 模 中 的 不 同 任务 相关 。 

形式 化 方法 的 研究 还 是 相对 较 新 的 ， 选 择 正 确 的 技术 和 工具 是 一 件 困难 的 事情 ， 而 开发 一 
种 新 的 验证 或 测试 工具 则 需要 相当 大 的 工作 量 。 本 书 中 ， 我 们 将 概述 各 种 形式 化 方法 之 间 的 异 
同 ， 同 时 也 指出 它们 可 以 怎样 组 合 在 一 起 ， 弥 补 各 自 的 不 足 。 

当 一 个 新 的 软件 产品 被 开发 出 来 时 ， 需 要 决定 是 否 使 用 某 个 特定 的 软件 可 靠 性 工具 或 相应 
的 技术 。 在 有 些 情 况 下 ， 应 该 尝试 着 开发 一 个 新 的 工具 或 裁 前 更 有 的 工具 以 满足 某 些 特定 的 需 
要 。 软 件 开发 中 担负 不 同 角色 的 人 们 有 着 不 同 的 考虑 。 下 面 列 出 了 一 些 相 关 的 问题 : 


项 目 经 理 

一 在 我 的 软件 项 目 中 使 用 形式 化 方法 会 获得 什么 好 处 ? 

一 需要 哪些 时 间 、 人 力 和 金钱 上 的 投入 ? 

一 我 是 不 是 应 该 建立 一 个 内 部 的 形式 化 方法 小 组 ， 以 便 开 发 新 的 符合 我 部 门 需求 的 工具 ? 


。 质量 保证 团队 主管 


一 我 们 应 该 在 开发 过 程 的 哪个 阶段 使 用 形式 化 方法 ? 
一 我 如 何 合理 安排 使 用 形式 化 方法 的 活动 和 其 他 的 开发 活动 ? 
一 我 们 需要 多 少 人 力 来 完成 这 项 任务 ? 他 们 需要 什么 样 的 资质 ? 
一 我 们 应 该 如 何 雇用 或 训练 员工 来 应 用 形式 化 方法 ? 
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一 哪个 工具 或 技术 能 够 最 好 地 帮助 我 们 获得 更 高 的 可 靠 性 ? 

一 它 的 成 本 是 多 少 ? 

一 这 个 工具 能 够 提供 什么 样 的 支持 ? 

一 当前 正在 开发 系统 的 最 适当 的 形式 化 表示 是 什么 ? 

一 使 用 不 同 的 形式 化 方法 找到 错误 的 概率 各 是 多 少 ? 

一 什么 样 的 形式 化 规约 最 适合 被 开发 的 系统 ? 

一 为 达到 我 部 门 的 目标 ， 开 发 一 个 新 方法 或 改进 一 个 已 有 方法 需要 多 长 时 间 ? 

一 我 们 是 否 需 要 特殊 的 设备 或 软件 来 支持 这 些 工 具 ? 

一 我 们 怎样 使 用 选 定 的 某 个 方法 或 工具 对 被 开发 系统 (或 其 一 部 分 ) 进行 建 模 ? 

一 我 们 应 该 如 何 解释 形式 化 方法 给 出 的 结果 ? 例如 ， 当 工具 报告 错误 时 ， 系 统 真 的 有 错 
吗 ? 当 没 有 发 现 错误 时 ， 我 们 对 系统 的 把 握 有 多 大 ? 

一 当 我 们 使 用 的 工具 失败 了 怎么 办 ? 例如 当 验 证 工具 没有 在 适当 的 时 间 内 得 出 结果 或 者 
出 现 了 内 存 耗 尽 的 情况 。 

一 我 们 的 规约 正确 吗 ? 其 中 是 否 包 括 了 一 些 自 相 矛 盾 的 情况 ? 它们 是 不 是 包括 了 该 系统 
所 有 必要 的 需求 ? 

形式 化 方法 研究 人 员 

一 我 怎样 才能 增加 形式 化 方法 技术 的 表达 能 力 (expressiveness), 以 便 可 以 规约 和 验证 
更 多 的 系统 需求 ? 

一 我 怎样 才能 提高 这 些 技 术 的 效率 (efficiency)， 使 得 这 些 方法 和 工具 能 够 运行 得 更 快 并 
能 够 处 理 规模 更 大 的 实例 ? 

一 是 否 存 在 启发 式 的 方法 heuristics〉 能够 在 很 多 实际 情况 下 比 标准 方法 更 好 ? 

一 我 怎样 向 潜在 的 用 户 推 广 新 技术 ? 

一 软件 开发 人 员 常 使 用 哪些 表示 方法 ? 我 怎样 将 它们 整合 到 我 开发 的 技术 和 工具 中 去 ? 


我 们 无 法 在 书 中 回答 所 有 这 些 问 题 ， 因 为 对 其 中 某 些 问题 的 回答 强烈 依赖 于 被 开发 的 特定 
系统 、 环 境 和 开发 组 织 。 但 是 我 们 试图 通过 提供 一 些 现代 形式 化 方法 的 相关 信息 、 它 们 的 用 途 和 
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局 限 性 来 解答 这 些 问 题 。 我 们 的 目的 是 讲述 主要 的 方法 ， 并 说 明 它 们 的 长 处 和 弱点 。 这 将 会 使 潜 
在 的 用 户 获 得 更 多 有 关 它 们 的 能 力 与 局 限 性 的 知识 ， 以 便 他 们 可 以 为 自己 的 自 标 选择 适当 的 方 
法 ， 并 快速 有 效 地 加 以 使 用 。 


1.3 使 用 形式 化 方法 
使 用 形式 化 方法 可 以 达到 多 种 目标 : 
° 在 开发 过 程 的 不 同 阶段 ， 获 得 关于 一 个 系统 共同 的 、 形 式 化 的 描述 。 形 式 化 规约 (speci- 
fication) 允许 参与 开发 的 不 同 小 组 共同 使 用 对 系统 或 其 属性 的 一 致 描述 。 这 个 描述 有 着 
清晰 、 无 二 义 的 含义 。 形 式 化 规约 向 设计 人 员 、 编 程 人 员 、 质 量 保证 团队 和 此 后 的 用 户 
担 供 了 一 系列 的 文档 ， 这 些 文档 可 以 用 于 解决 对 系统 预期 行为 的 误解 和 争论 。 
。 研究 形式 化 方法 的 目的 是 找 出 系统 开发 过 程 中 引 人 的 错误 ， 它 可 用 于 帮助 设计 人 员 和 开 
发 人 员 发 现 、 定 位 并 分 析 错 误 ， 从 而 增加 系统 的 可 靠 性 。 
。 可 将 形式 化 方法 集成 到 开发 过 程 中 ， 并 起 到 辅助 作用 。 一 些 形式 化 方法 工具 不 仅 可 以 对 
系统 的 设计 进行 建 模 和 描述 ， 而 且 可 以 通过 某 种 方式 自动 或 半自动 地 把 设计 转换 成 初步 
实现 。 例 如 ， 描 述 系统 的 动态 行为 的 工具 可 能 会 自动 地 产生 出 相应 行为 的 代码 。 
形式 化 方法 几乎 能 够 用 于 软件 开发 项 目的 每 一 个 阶段 。 人 们 能 够 使 用 形式 化 规约 描述 期 望 的 
系统 特性 和 系统 规约 。 测 试 和 验证 在 这 个 早期 阶段 就 可 以 开始 进行 。 系 统 的 初始 设计 就 已 经 可 以 
使 用 早期 错误 检测 算法 进行 处 理 ， 这 些 初始 设计 甚至 可 能 只 是 可 行 性 研究 中 获得 的 一 组 可 能 场景 。 
这 些 算 法 可 以 就 一 些 潜在 的 问题 对 开发 人 员 示 警 ， 例 如 功能 之 间或 功能 与 环境 之 间 的 意外 交互 。 
测试 和 验证 可 以 用 于 开发 的 不 同 阶段 。 在 开发 过 程 中 ， 错 误 发 现 得 越 早 ， 它 造成 的 损失 也 就 
越 少 ， 修 复 它 的 代价 也 就 越 小 。 然 而 ， 即 使 形式 化 方法 已 经 广泛 应 用 于 早期 开发 阶段 ， 新 错误 仍 
然 会 渗透 到 被 开发 系统 中 ， 因 而 在 后 面 的 阶段 不 断 地 使 用 形式 化 方法 是 一 个 有 用 的 实践 方法 。 
软件 开发 方法 论 规 定 了 如 何 获得 系统 的 需求 ， 规 划 时 间 表 ， 估 算 成 本 与 人 力 资源 ， 以 及 在 不 
同 的 小 组 之 间 分 配 工作 等 。 在 这 样 的 一 个 方法 论 的 指导 下 ， 在 一 个 项 目 中 恰当 地 使 用 形式 化 方 
法 就 可 以 得 到 最 高 的 效率 。 应 该 为 增强 被 开发 软件 的 可 靠 性 保留 专门 的 时 间 和 人 力 资源 。 

在 现实 中 ， 形 式 化 方法 的 倡导 者 常常 需要 与 其 他 开发 活动 相 竞 争 。 下面 几 个 原因 会 导致 这 
种 情况 发 生 : 

° 形式 化 方法 相对 来 说 是 新 生 事 物 ， 其 中 的 一 些 方法 在 最 近 (20 年 前 ， 甚 至 更 短 ) 才 被 
担 出。 

° 人 们 倾向 于 尽快 地 完成 开发 并 交付 产品 ， 各 个 开发 活动 的 时 间 限 制 都 很 紧 。 从 表面 上 来 看 ， 
形式 化 方法 似乎 需要 在 时 间 、 人 金钱 和 人 力 资源 上 投入 更 多 。 人 们 (特别 是 在 尚未 采用 这 种 技 
术 的 机 构 里 ) 常常 忽略 这 样 的 事实 : 形式 化 方法 能 通过 找到 错误 来 节省 时 间 和 人 金钱 。- 

” 形式 化 方法 的 研究 经 常 致力 于 提高 该 技术 的 表达 能 力 和 效率 ， 这 通常 会 导致 人 们 忽略 人 
机 界面 的 问题 ， 而 人 机 界面 在 吸引 新 用 户 方面 是 很 关键 的 。 由 于 形式 化 方法 是 基于 对 系 
统 的 数学 分 析 ， 所 以 一 些 技术 要 求 潜 在 用 户 自学 怎样 使 用 一 个 新 的 数学 框架 和 符号 系 
统 。 直 到 最 近 人 们 才 浙 浙 接 受 这 样 一 个 事实 ， 形式 化 方法 的 开发 人 员 需 要 采用 潜在 用 户 
已 经 使 用 的 框架 和 表示 符号 。 

许多 软件 开发 人 员 和 软件 工程 师 对 使 用 形式 化 方法 仍然 怀 有 疑虑 。 造 成 这 种 情况 的 主要 原 

因 之 一 可 能 是 使 用 了 一 些 像 “ 验 证 ”这 样 的 术语 ， 这 些 术语 暗示 了 能 够 对 被 检查 软件 的 某 些 绝对 
保证 ， 但 是 这 类 绝对 保证 实际 上 是 不 可 能 实现 的 。 为 此 ， 软 件 验证 工具 的 许可 证 通常 都 会 包含 对 
检测 被 检 软 件 中 的 部 分 或 全 部 问题 的 免责 声明 ， 这 看 起 来 似乎 是 一 个 营销 问题 。 通 过 解释 使 用 
形式 化 方法 的 优点 和 它们 的 局 限 性 ， 我 们 可 以 更 好 地 分 析 这 个 问题 。 
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当前 存在 大 量 的 对 形式 化 方法 的 常见 误解 和 偏见 : 

形式 化 方法 只 能 由 数学 家 使 用 。 

形式 化 方法 是 基于 数学 理论 的 这 一 事实 表明 这 些 方法 的 研究 人 员 很 可 能 是 数学 家 、 计 算 机 
科学 家 或 者 电气 工程 师 。 一 些 方法 ， 例 如 演绎 验证 ， 确 实 需要 很 高 的 数学 技巧 ， 但 是 许多 现代 的 
形式 化 方法 已 经 设计 得 使 软件 工程 师 只 需要 很 少 的 培训 就 可 以 使 用 。 这 是 由 于 形式 化 方法 的 开 
发 人 员 意 识 到 了 这 样 的 事实 : 当 他 们 的 方法 是 基于 目标 用 户 的 方法 和 工具 ， 而 不 是 要 求 用 户 学 
习 新 的 形式 化 理论 时 ， 他 们 常常 会 获得 成 功 。 

使 用 形式 化 方法 会 拖 慢 项 目的 进度 。 

的 确 ， 使 用 形式 化 方法 是 会 花费 不 少时 间 。 在 开发 过 程 中 增加 使 用 形式 化 方法 ， 需 要 安排 一 
定数 量 的 人 力 并 花费 一 定时 间 参 与 到 这 个 活动 中 来 ， 但 是 经 验 表明 使 用 形式 化 方法 ， 尤 其 是 在 
早期 开发 阶段 使 用 ， 会 减少 系统 调试 和 交付 系统 所 需要 的 时 间 。 在 验证 和 测试 系统 上 花费 时 间 
是 值得 的 ， 因 为 顾客 经 常 愿意 为 系统 的 可 靠 性 支付 更 多 的 金钱 ，。 

验证 过 程 本 身 就 易于 产生 错误 ， 这 又 是 何必 呢 ? 

人 们 的 确 不 能 够 对 软件 的 正确 性 有 完全 的 把 握 ， 在 对 软件 建 模 时 ， 以 及 为 了 适应 验证 和 济 
试 工具 而 对 软件 进行 转换 时 都 会 产生 错误 。 形 式 化 方法 工具 也 可 能 包含 缺陷 ， 并 且 人 工 验证 很 
显然 是 容易 出 错 的 。 事 实 上， 这 些 问 题 并 不 仅仅 存在 于 理论 层面 ， 当 将 形式 化 方法 应 用 到 实践 中 
时 也 会 产生 这 个 问题 。 重 点 在 于 认识 到 形式 化 方法 的 目的 并 不 是 提供 绝对 的 可 靠 人 性 。 因 此 ， 形 式 
化 方法 的 优势 在 于 提高 可 靠 性 。 统 计 研 究 表 明 ， 它 们 的 确 成 功 地 实现 了 这 一 目标 。 


1.4 应 用 形式 化 方法 


形式 化 方法 能 够 用 于 软件 开发 过 程 的 各 个 阶段 ， 从 早期 设计 到 产品 完成 时 的 验收 测试 。 理 
想 情况 下 ， 这 些 形 式 化 方法 的 使 用 会 通过 某 种 方法 论 集成 到 软件 开发 过 程 中 ， 因 此 开发 时 间 表 
应 该 包括 进行 测 坛 和 验证 工作 的 明确 时 间 段 。 确 定 软件 已 经 通过 特定 的 有 效 性 检查 可 以 被 看 做 
是 软件 开发 过 程 中 的 里 程 碑 。 

遗 幅 的 是 ， 形 式 化 方法 的 有 效 性 随 着 被 检测 对 象 大 小 的 增加 而 减 小 ， 这 个 问题 有 时 被 称 做 
状态 空间 爆炸 (state space explosion)。 在 本 书 中 会 详细 地 讨论 这 个 间 题 。 因 此 ， 将 形式 化 方法 
应 用 到 早期 的 设计 和 开发 阶段 更 为 有 效 ， 在 这 些 阶段 被 检测 的 对 象 相对 小 一 些 ， 尽早 使 用 形式 
化 方法 的 另 一 个 原因 是 早期 阶段 发 现 的 错误 造成 很 大 破坏 的 可 能 性 较 小 ， 并 且 也 比较 容易 修复 。 

现今 ， 软 件 系统 由 数 千 行 到 数 百 万 行 代码 构成 。 为 了 应 对 软件 开发 的 最 后 期 限 ， 软件 开发 通 
常 由 多 个 程序 员 小 组 共同 进行 ， 有 时 这 些小 组 分 布 在 不 同 的 地 方 ， 因而 将 形式 化 方法 应 用 于 整 
个 系统 是 很 困难 的 。 因 此 ， 现 在 的 研究 趋势 是 寻找 可 组 合 的 方法 ， 这 种 方法 试图 对 代码 的 不 同 部 
分 进行 单独 验证 ， 然 后 做 出 对 整个 系统 的 论断 。 

仔细 考虑 一 个 理想 化 的 例子 ， 一 个 系统 由 两 个 子 系统 A 和 B 组 成 。 我 们 希望 检验 系统 是 否 
满足 某 个 属性 p。 在 试图 进行 组 合 验 证 的 时 候 ， 我 们 可 能 先 尝试 证 明 A 满足 某 个 属性 p,，B 满 
足 某 个 属性 p,， 那 么 我 们 希望 证 明 ，A 和 5 日 分别 满足 属性 p, 和 pb: 则 蕴涵 整个 系统 满足 属性 p. 
当 子 系统 A 和 B 是 独立 开发 完成 的 时 候 ， 有 一 个 团队 检查 A 是 否 满足 属性 po ， 另 一 个 团队 则 检 
查 B 是 否 满足 属性 p, 。 这 会 存在 多 种 可 能 性 ， 例如 允许 开发 4 的 团队 检查 互 ， 同 时 开发 互 的 团 
队 检 查 A 《让 开发 人 员 检 查 自 己 编写 的 代码 通常 不 是 一 个 好 主意 ， 第 9 章 将 会 详细 解释 )。 从 另 
一 个 角度 说 ， 可 组 合 的 验证 和 测试 增加 了 安排 系统 开发 时 间 表 的 灵活 性 ， 因此 组 合 的 形式 化 方 
法 非常 值得 。 遗 憾 的 是 ， 正 如 我 们 后 面 将 会 看 到 的 ， 有 些 情况 很 难 实现 可 组 合 性 。 

形式 化 方法 的 应 用 对 象 并 不 仅 限于 软件 系统 的 代码 ， 人 们 可 以 一 开始 就 检查 需求 中 可 能 出 
现 的 矛盾 。 对 于 系统 的 早期 设计 ， 即 使 只 包含 少量 的 例子 ， 形式 化 方法 也 可 以 验证 其 一 致 性 。 有 
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些 软件 开发 方法 ， 例 如 净 室 方法 [98，99]， 在 整个 开发 过 程 中 都 使 用 形式 化 方法 来 精 化 代码 ， 
试图 使 得 软件 在 各 个 阶段 都 能 够 保持 相对 于 前 一 阶段 的 正确 性 。 理 想 情况 下 ， 人 们 能 够 从 系统 
规约 开始 ， 然 后 反复 对 它 进行 精 化 并 保持 每 个 阶段 的 正确 性 ， 最 后 获得 满足 规约 的 代码 。 

本 书 中 讲述 的 一 些 方 法 也 可 用 于 硬件 的 规约 、 验 证 和 测试 。 尤 其 是 ， 这 些 方法 的 某 些 变 体 包 
含 了 能 够 有 效 处 理 硬件 的 优化 技术 [24] 。 随 着 软 硬 件 设 计 的 最 新 发 展 ， 同 时 包括 硬件 和 软件 组 
件 的 系统 正在 被 开发 出 来 。 有 时 在 一 块 芯片 上 实现 某 个 关键 的 软件 ， 而 硬件 设 计 现 在 是 使 用 编 
程 语言 来 实现 的 。 随 着 硬件 和 软件 之 间 的 界限 越 来 越 模糊 ， 并 且 开 发 软 硬 件 模块 相 结合 的 系统 
具有 不 断 增 长 的 趋势 ， 我 们 需要 提供 能 够 适应 这 二 者 的 、 有 效 的 形式 化 方法 [80] 。 

应 用 形式 化 方法 需要 花费 一 定 的 成 本 ， 尽 管 采用 更 有 效 的 方法 有 助 于 减少 成 本 ， 但 是 没有 
办 法 完全 消除 这 些 成 本 。 从 另 一 方面 来 看 ， 使 用 形式 化 方法 可 以 消除 一 些 由 错误 引起 的 不 幸 情 
况 ， 因 而 从 整体 上 来 看 可 能 会 节省 一 些 成 本 ， 在 一 些 极端 情况 下 甚至 能 够 探 救 人 的 生命 。 因 此 在 
某 些 情况 下 ， 应 用 形式 化 方法 的 投入 等 于 甚至 大 于 所 有 其 他 开发 活动 的 总 投入 ， 这 并 不 是 不 合 
理 的 。 获 取 可 靠 性 通常 是 一 个 很 好 的 投资 ， 有些 时 候 其 至 是 无 价 的 。 


1.5 本 书 概要 


形式 化 方法 的 研究 已 经 产生 了 许多 有 趣 而 且 实 用 的 成 果 。 一 些 基 本 的 形式 化 方法 已 经 显示 
出 了 一 定 的 软件 分 析 能 力 ， 目 前 的 改进 旨 在 达到 更 高 的 效率 和 自动 化 程度 ， 以 便 将 这 些 方法 应 
用 到 更 广泛 的 系统 当中 。 在 形式 化 方法 已 经 成 熟 的 领域 ， 我 们 看 到 了 基础 技术 衍生 出 的 不 同 版 
本 ， 某 些 版 本 进行 了 针对 专门 应 用 的 优化 。 一 本 介绍 性 的 书籍 不 可 能 将 所 有 最 新 的 研究 成 果 都 
囊括 在 内 。 但 是 ， 对 于 很 多 基本 方法 和 当前 的 热门 方法 ， 本 书 呈 现 的 原理 是 相通 的 。 

本 书 重点 关注 形式 化 方法 的 两 个 重要 组 成 部 分 ， 运 辑 和 自动 机 理论 。 只 要 理解 这 些 概念 以 及 
它们 在 对 系统 进行 形式 化 分 析 中 的 作用 ， 就 能 很 容易 地 掌握 这 些 基本 思想 以 及 这 一 领域 新 的 发 现 。 

我 们 首先 介绍 一 些 基本 的 数学 背景 知识 (第 2 E), PE (第 3 章 ) 言 简 意 赎 地 定义 了 一 些 
语法 ， 这 些 语法 具有 形式 化 语义 ,并且 能 够 从 已 有 事实 推导 出 新 的 事实 。 它 可 以 用 于 对 系统 及 其 
属性 的 形式 化 描述 。 某 些 具 体 的 逻辑 ， 例 如 一 阶 逻 辑 (第 3 章 ) RARE RR (第 5 章 )， 
经 常 被 用 于 软件 规约 。 相 关 的 概念 ， 例 如 进程 代数 第 8 章 )， 则 经 常 被 用 于 分 析 系 统 内 部 或 者 
系统 与 环境 之 间 的 相互 作用 这 一 微妙 问题 。 使 用 逻辑 表示 方法 不 仅仅 限于 提供 一 个 精确 和 无 二 
义 性 的 描述 。 逻 辑 常常 带 有 相应 的 证 明 系 统 ， 这 样 可 以 允许 我 们 手动 或 自动 地 进行 推理 证 明 。 这 
样 的 证 明 系统 可 以 用 于 程序 验证 (第 7 章 ) 。 

男 一 个 在 形式 化 方法 中 扮演 重要 角色 的 数学 理论 是 自动 机 理论 (第 5、6 章 )。 一 个 自动 机 是 
一 个 数学 结构 ， 基 于 系统 状态 以 及 状态 之 间 的 迁移 ， 它 可 以 描述 系统 的 不 同行 为 。 人 们 常常 使 用 
自动 机 的 不 同 版 本 对 软件 系统 进行 建 模 。 自 动机 理论 是 计算 机 科学 的 基础 之 一 ， 因 而 许多 数学 
工具 可 以 用 于 自动 机 分 析 。 形 式 化 方法 中 使 用 这 类 工具 的 目的 是 对 系统 进行 自动 分 析 ， 

使 用 形式 化 方法 时 ， 通 常 首先 对 被 检验 系统 进行 数学 建 模 (第 4 章 ) 。 被 建 模 系统 以 及 它 的 
属性 的 形式 化 规约 第 5 章 ) 需要 通过 某 个 选 定 的 形式 化 描述 方法 来 给 出 。 然 后 人 们 就 能 够 应 用 
某 些 技术 来 获得 对 系统 正确 性 的 高 度 信心 。 主 要 的 方法 是 模型 检验 (第 6 章 )， 演 绎 验证 (第 7 
章 ) 和 测试 〈 第 9 章 ) 。 人 们 也 能 够 通过 对 一 个 设计 进行 逐步 精 化 的 方式 来 增强 可 靠 性 ， 这 种 精 
化 过 程 中 必须 维持 不 同 版 本 之 间 的 一 致 性 (第 8 BE), 

本 书 的 最 后 几 章 描述 了 一 些 更 高 级 的 技术 。 我 们 演示 了 怎样 将 不 同形 式 化 方法 的 优点 结合 在 
一 起 (第 10 章 )。 形 式 化 方法 中 最 近 的 成 功 趋势 之 一 是 使 用 可 视 的 形式 化 描述 方法 (第 11 章 )。 最 
后 ， 我 们 对 本 书 中 描述 的 方法 ， 以 及 形式 化 方法 研究 中 的 一 些 新 方向 进行 了 讨论 (“结束 语 ”)。 
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Software Reliability Methods 


预备 知识 


她 说 到 这 里 ， 抬 头 一 看 ， 那 尺 猫 又 学 在 一 根 树枝 上 了 。 
刘易斯 ， 卡 洛 尔 《爱丽 丝 漫游 奇 境 记 》 


软件 可 靠 性 方法 建立 在 一 些 数学 原理 之 上 。 通 常 这 些 方 法 的 使 用 者 并 不 一 定 要 掌握 相应 的 
数学 理论 。 本 书 中 ， 我 们 将 既 展 示 这 些 技术 本 身 ， 也 展示 一 些 构成 这 些 技术 的 原理 。 因 此 ， 我 们 
将 必然 会 使 用 到 一 些 数学 术语 。 本 章 概括 了 本 书后 面 将 用 到 的 一 些 概 念 和 理论 。 如 果 读 者 之 前 
对 集合 论 、 图 论 、 复 杂 度 理论 和 可 计算 性 的 基本 概念 已 经 有 所 了 解 ， 则 可 以 跳 过 这 一 章 。 


2.1 集合 表示 法 
一 个 集合 就 是 将 一 组 腿 或 无 限 多 个 元 素 聚 集 在 一 起 。 集 合 会 忽略 重复 的 元 素 。 对 于 有 限 
合 ， 它 的 元 素 可 以 在 一 对 匹配 的 花 括 号 之 间 罗 列 出 来 ， 比 如 {1，3，5，9}。 集 合 的 另 一 种 表示 
方法 是 {x|R(z)}， 这 里 尺 是 对 xz 可 取 值 范围 的 某 种 描述 。 例 如 ，{z|even(zx) 目 x>0 目 xz 过 200) 
是 2 和 198 之 间 的 偶数 的 集合 。 空 集 是 一 个 特殊 的 集合 ， 用 名 表示 ， 空 集 不 包含 任何 元 素 。 一 个 
集合 的 大 小 是 指 它 所 包含 的 元 素 的 个 数 。 集 合 A 的 大 小 用 |A | 表示 。 显 然 ，| 好 | =0。 
下 面 是 一 些 能 作用 于 集合 的 运算 ，; I 
交 运 算 A 门 B 表 示 既 在 A 中 又 在 B 中 的 元 素 的 集合 。 
并 运算 AUB 表 示 在 A 中 或 也 中 (或 两 者 都 在 ) 的 元 素 的 集合 。 
差 运算 A\B 表示 在 集合 A 中 但 不 在 B 中 的 元 素 的 集合 。 
Bak 2 表示 所 有 的 可 以 由 集合 4 中 一 些 元 素 构成 的 集合 的 集合 。 要 注意 的 是 24 是 一 个 所 有 
元 素 仍 是 集合 的 集合 ， 这 些 元 素 都 是 A 的 子 集 。 如 果 A 有 有 限 多 个 元 素 ， 那么 24 的 大 小 就 是 2141 。 
例如 ， 如 果 A—(1, 3, 5, 6, 8} B B=(3, 6, 9), 那么 ANmB={3, 6}, AUB={1, 3, 
5, 6, 8, 9}, A\B={1, 5, 8), RA BRE, El 25 是 
(BG,(3),{6),(9),(3,6),{3,9},{6,9),{3,6,9})} 
如 果 从 上 下 文中 能 够 确定 所 讨论 元 素来 自 一 个 给 定 的 域 D， 例 如 ， 整 数 
Int = (++, —2, —1,0,1,2,..) 
或 者 自然 数 
Nat = {0,1,2,++} 
那么 我 们 可 以 计算 一 个 集合 的 补 集 。 集 合 4 的 相应 于 集合 D 的 ) 补 集 ， 是 包含 了 集合 D 中 所 有 
不 在 集合 A 中 的 元 素 的 集合 ， 用 表示 。 换 名 话说 ，A REDA. 
我 们 用 zE A 来 表示 一 个 元 素 x 属于 一 个 集合 A。 如 果 zz 不 属 于 A， 我 们 写作 tA, RNT 
以 通过 下 列 方式 来 比较 一 对 集合 ， 
” 4sB， 如 果 对 于 每 一 个 元 素 xEA 同样 有 zxE 了 Be。 我 们 说 A 包含 于 B 或 者 A E: B 的 一 个 
子 集 。 对 于 这 种 情况 ， 我 们 也 可 以 写作 BDA, 
"A 一 B， 如果 A 包含 于 B 且 B 也 包含 于 A。 我 们 说 和 A 和 B 是 相等 的 。 
。 ACB, 如果 有 和 A 包含 于 B 但 A 不 等 于 B 《也 即 B 必须 至 少 包 含 一 个 不 在 A: 中 的 元 素 ) 
们 说 和 A 真 包含 于 BB 或 者 A 是 B 的 一 个 真子 集 。 我 们 也 可 以 写成 BDA. 
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Pla, $ B=(1，2，3，4，5)，4 一 (2，4，5)。 那 么 我 们 就 可 以 说 ASB。 事 实 上 既然 A 尖 
B, RIRE ACB. 

两 个 集合 A MB 的 笛 卡 儿 积 ， 用 AXB 表示 ， 是 一 个 有 序 对 的 集合 。 在 AXB 中 ， 每 一 个 有 
序 对 的 第 一 个 元 素来 自 A4， 第 二 个 元 素来 自 B. 例如， 如 果 A= (lq. a}, B=1s, s), WA 
AXB={ (qos s), (qos sss “hs s)» (Hs sd}. MFARBRS AMB, WR|Al=mB 
|Bl=n, BA\|AXB|=mXn, 我们 把 两 个 元 素 列 在 尖 括 号 (“4” 和 “)”) RBS C“ O 和 
9) 之 间 来 表示 一 个 有 序 对 。 通 过 反复 应 用 笛 卡 儿 积 ， 我 们 可 以 获得 更 复杂 的 元 素 ， 例 如 三 元 
组 、 四 元 组 、 六 元 组 或 者 更 通用 的 :元 组 。 

一 个 元 关系 是 在 某 个 域 上 的 n 元 组 的 集合 。 每 个 元 组 都 是 一 个 恰巧 有 n 个 有 序 元素 的 对 
象 。 关 系 的 一 个 例子 就 是 整数 之 间 的 “大 于 ”关系 ， 通 常用 “ 沁 >” 表示 。 这 是 一 个 二 元 关系 ， 即 
元 素 对 的 关系 。 我 们 知道 下 列 属于 这 个 关系 的 元 素 对 ， 

(3,5),(7,9),(3,11) 
而 下 列 的 元 素 对 则 不 属于 这 个 关系 
《3,3),(7,3),(0, 一 1) 
一 个 关系 还 可 以 定义 于 多 个 域 上 ， 这 样 上 元 组 中 每 个 位 置 上 的 值 都 取 自 一 个 特定 的 域 。 

对 于 一 个 二 元 关系 RSD. xD:， 我 们 用 R 表示 关系 (x, vy) |(y，xz)ER)。 要 注意 的 是 
R°SD XD:。 有 时 我 们 说 R E RBK R. RMA Ra, s z) 来 表示 (a) TIE 
R。 对 于 二 元 关系 ， 我 们 还 使 用 中 级 表示 法 ， 写 作 z Rzs 。 

一 个 二 元 关系 RCDXD 的 传递 闭 包 用 R' 表示 。 传 递 闭 包 的 定义 如 下 ，(x，y) CR 当 有 一 
个 序列 mm ，zi ，…，z, 满足 对 于 0 二;i< 2 都 有 (z, za) ER, z =<x R z,= y, 

一 个 了 元 函数 RAG, RA) uju 4E— 4-6 (HD 元 组 的 约束 关系 ， 每 个 元 组 的 
前 面 ”个 元 素 唯一 确定 了 第 (n 十 1) 个 元 素 。 也 就 是 说 ， 不 可 能 有 两 个 Cal 元 组 ， 它 们 的 前 
2 个 元 素 相 同 ， 但 第 (n 十 1) 个 元 素 不 同 。 BMLFRMD, D, --, D. E, 结果 值 来 自 于 域 Dr: 
的 函数 /表示 形式 如 下 f: Di XD XXD Da MWM, ERME, RRA +H, BD 
元 机 数 ， 即 十 :证 Xintint。 可 以 将 一 个 = 元 关系 看 做 一 个 具有 同样 元 数 的 画 数 ， 这 个 函数 返 
El TRUE 或 FALSE。 这 样 ， 每 个 4 元 组 被 扩展 为 一 个 (n 十 1) 元 组 ， 其 中 最 后 一 个 布尔 值 元 素 
古 由 前 ”个 元 素 唯一 确定 的 。 要 注意 的 是 关系 和 函数 符号 经 常会 被 “ 重 载 >， 具 有 多 个 解释 .全 
如 ， 关 系 符号 “之 ” 既 代表 整数 域 上 的 “大 于 >”， 也 作用 于 实数 域 之 上 . 

等 价 关 系 一 是 一 个 作用 于 某 个 域 D 上 的 满足 下 列 条 件 的 二 元 关系 ， 

自 反 性 ”对 于 每 个 元 素 ED, r~z, 

对 称 性 ”对 于 任意 两 个 元 素 z，yED， 如 果 r~y, WA y~r. 

传递 性 ”对 于 任意 三 个 元 素 z, y, z€ D, 如果 r~yHy~z, 那么 r~z, 

一 个 函数 f DD 是 : 

一 一 映射 〈 或 单 射 ) 如 果 对 任意 两 个 元 素 dis d,€D., di 关 d, 有 fldAfld,). 

满 射 ”如 果 对 任意 元 素 c€ D, 存在 一 个 元 素 4ED: 满足 f(4) =c, 

双 射 ”如 果 这 个 函数 既是 一 一 映射 又 是 满 射 。 


2.2 字符 串 和 语言 
一 个 字符 囊 是 某 个 预先 定义 的 集合 〈 称 为 字母 表 》 中 元 素 的 《有限 或 无 限 ) 序列 。 实 践 中 ， 


通常 用 符号 互 表 示 字 母 表 ， 王 中 的 元 素 叫 做 字母 ， 某 个 字母 表 上 的 字符 串 的 〈 有 限 或 无 限 ) 集合 
艺 则 做 语言 。 一 个 字符 串 一 般 可 以 通过 顺序 列 出 其 中 的 全 部 字母 来 表示 ， 例如 ， 如 果 EIS (a, b, 
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c} ， 即 英语 字母 表 中 的 头 三 个 字母 ， 那 盆 zabacca 和 babacca 是 了 上 的 字符 串 。 既 然 一 个 语言 
一 个 “字符 串 的 ) 集合 ， 我 们 可 以 使 用 通常 的 集合 表示 法 来 定义 它 。e (这 里 e 不 是 3 中 的 字母 ) 
表示 一 个 特殊 的 字符 串 ， 即 空 字符 串 。 空 字符 串 不 包 售 任何 字母 。 下 面 是 几 种 我 们 接 下 来 将 会 使 
用 的 可 作用 于 字符 串 的 运算 ; 

联结 运算 ”将 两 个 或 更 多 的 字符 串 以 一 定 的 顺序 拼接 到 一 起 。 通 常 的 表示 方法 是 将 它们 以 
要 求 的 顺序 写 到 一 起 ， 并 用 操作 符 “. ”分 隔 。 例 如 ， 我 们 可 以 联结 三 个 字符 串 abba, acca 和 
baa ， 写 成 abba. acca. paa， 这 样 得 到 的 结果 是 字符 种 abbaaccabaa。 字 符 串 的 联结 运算 还 可 扩展 到 
字符 串 集 合 上 ， 例 如 U.V 定义 为 {u.v|uEUAwvEV)。 很 多 情况 下 联结 运算 符 “. ”被 省 略 
掉 了 。 

重复 运算 ”如果 = 是 一 个 字符 串 ， 那 么 o 是 一 个 字符 串 的 集合 〈 一 种 语言 ) ， 其 中 每 个 字符 
串 都 包含 o 的 零 次 或 多 次 的 重复 。 例如， 语言 Cabac)" CALA e, abac, abacabac 等 。 给 定 
一 个 语言 L， 我 们 用 L* 表示 通过 多 次 联结 工 中 的 零 个 或 多 个 单词 所 获得 的 语言 、 例 如 ， 如 果 
L={ab, bc} 那么 L'E e, ab, bc, abab, abbc, ababbc, bebcab, 2268. BEB WEL 中 的 
字符 串 不 限于 取出 一 个 单独 的 字符 串 vE 工 然后 重复 它 。 一 旦 定义 了 运算 符 “* ”， 我 们 现在 就 可 
以 将 一 个 字母 表 王 上 的 语言 工 表示 为 L 生 3 。“* ”的 一 个 变 体 是 运算 符 “ 十 ”。 它 的 结果 类 似 
于 “*”， 但 是 不 包含 空 字符 串 〈 即 零 次 重复 ) 。 另 外 一 个 变 体 是 “w” 运 算 符 ， 其 作用 是 通过 无 


限 多 次 的 重复 形成 无 限 长 的 字符 串 。 
集合 运算 符 ” 诸 如 “U”,“ 门 ”或 “\”， 之 类 的 集合 运算 符 可 以 用 于 从 给 定 的 语言 运算 得 


到 一 个 新 的 语言 。 因 为 语言 是 字符 串 的 集合 ， 我 们 同样 可 以 用 集合 的 比较 关系 “SC”"、 “= A 
“二 ”在 它们 之 间 进 行 比较 。 : 

如 果 一 个 字符 串 ” 能 够 被 分 解 为 x. w OXE u 和 了 可 以 是 空 字符 串 ) ， 我 们 把 umik o 的 前 
AR, E w 叫做 v 的 后 级 。 


2.3 


图 是 一 种 常见 的 表示 形式 ， 可 以 表示 一 组 对 象 S， 以 及 连接 这 些 对 象 的 某 个 〈 二 元 ) 关系 
4。 我 们 将 这 样 的 一 个 图 表示 为 一 个 二 元 组 (S, A, S 中 的 对 象 通常 叫做 节点 或 顶点 。 节 点 通 
常 表示 为 椭圆 或 其 他 形状 ， 每 个 关联 的 对 (s，+r) C A 叫做 边 。 如 果 关 系 A 是 对 称 的 ， 意 味 着 如 
果 对 于 每 一 个 二 元 组 (s，r) CA 同样 有 Cr, s E A， 那么 这 个 图 是 无 向 的 ， 边 可 以 用 连接 表示 相 
应 顶点 的 椭圆 之 间 的 直线 或 弧 线 表示 。 如 果 关 系 A 是 不 对 称 的 ， 那么 这 个 图 就 是 有 向 的 ， 它 的 
FRU G, O 用 从 表示 ;的 椭圆 指向 表示 7 的 椭圆 的 往 头 表示 ，。 WR e= (s, r) 是 A 中 的 一 条 
W. 那么 是。 MRA, rhe 的 终点 。 同 样 我们 可 以 说 e 是 s 的 出 边 ， Jer iA, 

图 2.1 中 表示 的 是 有 向 图 的 一 个 例子 。 节 点 的 集合 是 (r, 
Tes ts r) PPA AINE: 

{Cr or) (ry ra). (ra ory) Cra rs) ory srg) (rara) 9 (re ote) 

Cre ore) s (ra rs) (ra rs) (rs ate) (rasta) Cr ra) } 

一 条 边 ， 例 如 (xr,，x.)， 从 一 个 节点 (在 这 个 例子 里 是 * ) 
返回 到 这 个 节点 本 身 ， 叫 做 自 边 或 自 循环 。 

我 们 可 以 在 图 中 包含 另外 一 些 S 和 A 的 成 分 。 一 个 图 的 节点 、 
边 或 两 者 都 可 以 带 有 标签 。 给 定 一 个 标签 的 集合 D， 一 个 边 标 记 A21 一 个 有 向 图 
HHL? A>D AA 中 的 每 一 条 边 分 配 D 中 的 一 个 元 素 。 这 通常 表示 为 将 每 条 边 相应 的 标签 放 到 
化 近 这 条 边 的 地 方 。 这 种 情况 下 ， 图 是 一 个 四 元 组 (S，A，D，L)。 标签 使 我 们 在 过 到 菜 些 节 
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点 对 之 间 有 不 止 一 条 边 的 情况 时 可 以 区 分 这 些 边 。 这 些 边 还 可 以 被 重新 定义 为 在 Sx Dx S Z E 
的 三 元 组 ， 这 样 每 条 边 就 包含 源 点 、 标 签 和 终点 。 在 这 种 情况 下 对 于 每 条 边 〈*，a，r) ， 边 标记 
函数 工 返 回 边 在 中 间 分 量 a 上 的 投影 。 

路 径 是 S 中 节点 的 一 个 CARRER) 序列 ，w，9 ，2 ，…，%，…… 满 足 每 对 相 邻 的 节点 
si;，5i+1 形 成 一 条 边 (s;，sit1) EA。 一 条 路 径 中 如 果 没 有 节点 出 现 超过 一 次 ， 那 么 就 说 这 条 路 径 
是 简单 路 径 。 要 注意 的 是 在 一 个 有 限 图 上 的 一 条 无 限 路 径 中 ， 至 少 有 一 个 节点 必须 重复 出 现 无 
限 多 次 。 环 是 一 条 开始 并 结束 于 同一 个 节点 的 有 限 路 径 。 路 径 的 长 度 是 指出 现在 其 中 的 边 的 数 
量 ， 包 括 重 复 的 边 〈 因 此 ， 一 条 路 径 中 的 节点 数 要 比 这 条 路 径 的 长 度 大 1)。 因 此 ， 对 于 每 个 节 
点 而 言 ， 都 有 一 条 从 该 节点 到 它 自身 的 长 度 为 0 的 平凡 路 径 。 在 图 2. 1 所 示 的 图 中 ， 有 一 条 长 度 
为 7 OS PARR AR ry Tes Fas Tas Tas Tss Tos Tro ËR Yes Tes mo res r 是 一 个 环 ， 长 度 为 4。 
在 一 个 图 中 ， 两 个 节点 间 的 距离 是 它们 之 间 最 短路 径 的 长 度 。” Ar 间 的 距离 就 是 1，r, 和 > 
闻 的 距离 是 4。 

对 于 图 的 节点 的 一 个 子 集 S'S， 如 果 S 中 任意 一 对 节点 之 间 都 有 一 条 只 经 过 S' 中 节点 的 路 
£, 那么 就 说 S 是 强 连 通 的 。 强 连通 分 量 就 是 这 种 节点 的 最 大 集合 ， 即 不 可 能 向 这 个 集合 中 再 
加 入 任何 一 个 节点 且 仍 然 保持 强 连通 。 图 2.1 中 所 示 的 图 有 三 个 强 连 通 分 量 ; (ro ns n) 
{re} 和 (rs，re， ri， 7s， 1s)。 一 个 平 几 强 连通 分 量 是 指 只 包含 一 个 节点 上 且 没有 自 循环 的 强 连 通 
分 量 。 

有 很 多 图 论 算 法 [33] 能 够 用 于 寻找 与 有 限 图 相关 的 重要 人 信息。 例如， 这些 算 法 能 够 检验 两 
个 节点 间 是 否 有 一 条 路 径 ， 且 返回 它们 之 间 的 距离 。 一 个 对 程序 自动 验证 特别 有 用 的 算法 是 
Tarjan 的 用 于 寻找 强 连 通 分 量 的 DFS 算法 。 另 一 个 重要 的 算法 是 计算 图 的 传递 闭 包 的 Floyd- 
Warshall 算法 [145]， 图 的 传递 闵 包 是 指 节 点 对 G, D 的 集合 ， 使 得 图 中 有 从 ; 到 7 的 路 径 。 

树 是 一 个 无 环 的 有 向 图 ， 其 中 有 一 个 没有 人 边 的 节点 作为 树 的 很， 并 且 其 他 节点 都 只 有 一 
条 人 边 。 因 此 ， 从 根 到 树 中 任何 一 个 节点 都 有 一 条 路 径 〈 实 际 上 也 是 唯一 的 一 条 )。 节 点 的 出 度 
是 指 其 出 边 的 数目 。 一 个 常用 的 绘制 树 的 方法 是 将 根 节点 放 在 顶部 ， 然 后 可 以 从 根 节点 经 过 一 
条 边 到 达 的 节点 水 平 排列 在 下 一 排 ， 然后 可 以 从 这 些 节点 中 的 菜 个 节点 经 过 一 条 边 到 达 的 节点 
画 在 再 下 一 排 ， 以 此 类 推 ， 如 图 2. 2 所 示 。 每 一 排 这 样 的 节点 集合 称 为 一 屋 。 那 么 ， 根 节点 是 第 
0 层 的 唯一 节点 ,第 i 层 节 点 有 一 条 长 度 为 i 的、 从 根 节点 出 发 的 上 路径。 如 果 在 树 中 从 节点 + 到 
mr ARBRE, 那么 x 叫做 7 的 一 个 后 代 ， 而 + 是 x 的 一 个 祖先 。 如 果 这 条 路 径 的 长 度 为 1， 
那么 + 是 x' 的 直接 祖先 ,r' 是 + 的 直接 后 代 。 一 个 没有 后 代 的 树 
节点 叫做 叶 节 点 。 

有 时 从 一 个 给 定 的 节点 (查看 图 G 的 展开 是 很 有 用 的 。 正 如 
下 面 所 描述 的 ， 图 的 一 个 展开 是 一 棵 树 ， 其 中 的 节点 用 G 中 的 节 
点 标记 。 我 们 将 展开 中 的 每 个 标记 为 s 的 节点 称 为 * 的 一 次 出 现 。 
在 展开 中 ，G 中 的 一 个 节点 可 能 会 多 次 出 现 。 这 个 展开 的 根 节点 
是 G 中 节点 :的 一 次 出 现 。 如 果 在 展开 的 第 i 层 有 一 个 节点 s 的 一 
KER, B G 中 有 一 条 从 s As HH, WAER i 十 1 层 中 必 有 s 
的 一 次 出 现 且 必 有 一 条 从 ;的 出 现 到 s' 的 出 现 的 一 条 边 。 假设 s 
和 s, 都 出 现在 展开 的 第 i 层 中 ， 且 在 G 中 两 者 都 有 一 条 到 某 个 节 
ss 的 边 。 那么 在 展开 的 第 i 十 1 层 中 必 有 s 的 不 同 出 现 ， 其 中 一 图 2.2 图 2.1 中 图 的 一 个 展开 
TEs 的 直接 后 代 ， 另 一 个 是 s, 的 直接 后 代 。 图 2. 2 是 图 2. 1 中 从 r 开始 的 无 限 展 开 的 一 部 分 。 

我 们 形式 化 地 定义 Tr=, Š, A, L) EB] G=¿S, A) 的 从 S 中 菜 个 节点 ,开始 的 一 个 展 
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开 ， 满 足下 列 条 件 : 
。 Tr 是 一 棵 树 ， 根 节点 为 (， 节 点 集合 为 $， 边 集合 为 人 ^《， 标 记 函 数 为 工 : $ 一 S。 
。 如 果 对 rES 有 L(CD)= 一 *， 且 G 中 有 mm 条 出 边 到 达 节 点 % ，…，s ， 那 么 > 在 A 中 正好 有 
m 个 直接 后 代 ， ro o ES, HH LOD =s,1<i<m), 


一 个 关于 树 的 重要 性 质 是 Konig 推论 〈 见 [33]) 
每 标 无 穷 树 〈 即 有 无 限 多 个 节点 的 树 ) 如 果 其 每 个 节点 的 出 度 都 是 有 限 的 ， 则 必然 有 一 条 无 


限 的 路 径 。 


2.4 计算 复杂 度 和 可 计算 性 

一 个 算法 的 复杂 度 是 估计 这 个 算法 运行 所 需要 消耗 的 时 间或 内 存 (空间) 的 一 个 度量 标准 。 
我 们 也 可 以 讨论 一 个 计算 问题 的 复杂 度 ， 这 个 问题 的 复杂 度 体现 了 解决 这 个 问题 的 最 好 算法 的 复 
杂 度 。 在 一 些 特定 的 情况 中 ， 复杂 度 度量 标准 可 以 用 于 评估 指定 任务 所 需要 的 硬件 。 在 其 他 的 一 
些 情况 中 ， 用 它 来 表示 某 个 特定 算法 是 不 实际 的 ， 或 者 甚至 是 某 个 问题 根本 不 可 能 被 有 效 解决 。 

因为 存在 多 种 多 样 可 用 于 计算 的 设备 ， 所 以 复杂 度 通常 是 根据 图 灵机 的 抽象 模型 来 度量 的 
[69]。 图 灵机 是 计算 机 程序 的 一 个 数学 模型 ， 它 用 线性 纸 带 作为 存储 设备 。 纸 带 被 分 割 为 一 个 接 
一 个 的 单元 ， 每 个 单元 用 给 定 字母 表 马 中 的 某 个 纸 带 符号 — 
标记 ， 这 个 字母 表 包含 一 个 特殊 的 空白 符 Y。 纸 带 的 左 端 
国定 ， 并 向 右 无 限 延伸 。 读 写 头 能 够 读 取 和 改变 当前 纸 带 — 

位 置 上 的 纸 带 符号 ， 这 里 的 当前 位 置 即 是 读 写 头 指向 的 位 —— Z 
置 《 如 图 2. 3 所 示 )， 读 写 头 可 以 向 左 或 向 右 移动 一 个 位 
置 ， 读 写 头 在 初始 时 刻 指 向 最 左边 的 单元 。 

图 灵机 的 控制 机 制 是 一 个 有 限 表 ， 这 个 表 为 每 一 对 状态 和 当前 输入 符号 描述 了 下 列 内 容 ， 
D 下 一 个 状态 ;(2》 当前 纸 带 位 置 的 蔡 代 符号 (3) 读 写 头 移动 的 方向 ， 向 左 或 向 右 。 在 每 一 
步 中 ， 根 据 当 前 状态 和 当前 纸 带 位 置 上 的 符号 ， 图 灵机 能 够 根据 控制 表 修改 当前 位 置 的 符号 ， 移 
动 读 写 头 ， 且 改变 当前 状态 。 

在 执行 开始 的 时 候 ， 图 灵机 的 输入 处 于 纸 带 最 左 端 位 置 。 输 入 中 不 包含 任何 空白 符号 y， 且 
在 输入 右边 跟随 着 无 限 连续 的 空白 符号 序列 。 输 入 规模 是 指 输入 所 占用 的 纸 带 单元 的 个 数 。 有 
时 ， 我 们 会 使 用 一 种 稍微 复杂 一 点 的 有 多 条 纸 带 的 图 灵机 。 这 样 ， 输 入 放 在 一 条 纸 带 上 ， 不 能 重 
写 这 条 纸 带 ， 而 其 他 的 纸 带 被 当做 存储 器 使 用 。 图 灵机 还 有 很 多 变 体 。 

图 灵机 可 以 作为 一 种 输入 单词 的 接受 器 。 如 果 计 算 过 程 终 止 于 一 个 被 标记 为 接受 的 状态 ， 
那么 图 灵机 就 接受 这 个 单词 ， 如 果 计 算 没有 终止 或 者 终止 于 一 个 被 标记 为 拒绝 的 状态 ， 那 么 图 
如 机 拒绝 接受 这 个 单词 。 从 另外 一 个 角度 看 ， 还 可 以 将 图 灵机 看 做 是 一 个 转换 器 ， 它 将 输入 转换 
为 相应 的 输出 ， 这 个 输出 在 计算 结束 时 保存 在 纸 带 上 。 

图 灵机 模型 是 算法 的 一 种 非常 抽象 的 表示 形式 。 真 正 的 计算 机 当然 能 够 进行 比 移动 读 写 头 、 
改变 当前 符号 与 状态 更 加 复杂 的 操作 。 然 而 ， 图 灵机 模型 仍 是 一 种 优秀 的 、 可 用 于 比较 不 同 算法 
与 计算 问题 的 数学 度量 工具 。 更 进一步 讲 ， 虽 然 真 实 的 计算 机 的 操作 要 比 图 灵机 的 操作 复杂 得 
多 ， 但 它们 执行 的 计算 方法 总 体 上 还 是 相同 的 。 

图 有 灵机 的 计算 模型 有 几 个 优点 。 它 相当 简单 且 抽 和 象 ， 删 除了 真实 计算 机 需要 考虑 的 很 多 细 
节 。 这 也 就 意味 着 当 一 个 计算 问题 或 算法 从 一 台 真实 计算 机 移植 到 另 一 台 时 ， 我 们 不 需要 再 次 
分 析 它 。 这 个 模型 同样 允许 将 一 个 计算 问题 视 作 一 种 由 可 接受 的 输入 单词 组 成 的 语言 。 通 过 这 
种 形式 ， 它 与 计算 机 科学 中 经 常 使 用 的 其 他 计算 模型 相关 联 ， 例 如 有 限 自 动机 ( 见 5.5 节 )。 事 
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图 2.3 一 个 图 灵机 
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实 上 ， 图 灵机 可 以 被 认为 是 一 个 带 有 无 限 存储 空间 〈 指 无 限 的 纸 带 ) 的 有 限 状态 自动 机 《〈 指 有 限 
的 图 灵机 控制 命令 ) 。 

度量 一 个 算法 的 有 效 性 时 既 要 涉及 时 间 复 杂 度 ， 又 要 涉及 空间 〈 即 存储 器 ) 复杂 度 。 时 间 是 
指 图 灵机 执行 的 步 数 ， 空 间 是 指 用 到 的 纸 带 符号 的 个 数 。( 当 度量 空间 时 ， 我 们 使 用 上 文 提 到 的 
多 纸 带 的 图 灵机 。 这 样 做 的 原因 是 ， 通 过 这 种 方式 ， 空 间 可 以 是 输入 规模 的 一 小 部 分 。) 

复杂 度 度量 以 输入 规模 的 一 个 函数 的 形式 给 出 。 我 们 用 “大 O” REOS) 表示 最 坏 
情况 下 的 复杂 度 ， 这 里 f 是 一 个 函数 。 例 如 ，O(w) (表示 平方 复杂 度 ) RHO) (表示 指数 复 
杂 度 )， 这 里 n ERAM, OSM) 表示 法 的 解释 如 下 : 

对 于 一 个 算法 或 者 计算 问题 ， 如 果 存 在 两 个 常数 c。 和 c,， 使 得 对 于 每 一 个 输入 规 

模 ”co 的 实例 ， 在 图 灵机 上 执行 算法 (或 解决 问题 ) 所 需要 的 时 间 / 空 间 不 超过 c, X 

f(n)， 那 么 它 有 OCf(n)) 的 复杂 度 。 
这 样 解释 OC 了 C(x)) 的 原因 如 下 : 

. 人 们 通常 不 关心 一 个 问题 是 和 否 有 有 限 多 个 规模 比 某 个 常数 c 小 、 复 杂 度 与 f(n) 不 一 臻 
的 实例 的 存在 。 

。 给 出 的 复杂 度 度量 只 依赖 于 某 个 常数 因子 ae 。 这 是 因为 我 们 在 计算 复杂 度 时 ， 通 常 不 希望 
考虑 机 器 的 执行 速度 ， 或 字 的 大 小 。 如 果 我 们 以 后 买 了 一 台 速 度 更 快 或 者 每 个 内 存单 元 是 
现在 计算 机 的 两 倍 (比如 64 位 ， 而 不 是 现在 的 32 位 》 的 计算 机 ， 复 杂 度 仍然 保持 一 样 。 
(实际 上 ， 我 们 可 以 找到 一 个 足够 大 的 m ， 就 可 以 消除 常量  。 但 这 样 会 导致 。 BEAK.) 

° 可 能 存在 一 些 规模 为 n( 即 使 n>>c。)〉 的 实例 ， 计 算 时 会 比 c. X f(n) 更 快 或 者 只 需 更 少 的 
存储 器 开销 。 但 我 们 只 考虑 那些 规模 为 >、 造成 最 坏 情 况 的 实例 ， 这 是 因为 我 们 认为 只 
需要 在 复杂 度 度量 中 考虑 最 坏 的 情况 。 计 算 机 系统 的 使 用 者 不 会 因为 算法 比 预期 执行 得 
更 快 或 者 消耗 更 少 存 储 器 的 输入 实例 而 产生 不 满 。 

要 注意 的 是 如 果 一 个 算法 的 复杂 度 为 OCf(n)) 上 且 对 每 个 4 宇 0，f(n) g(x)， 那 么 它 的 复杂 度 

同样 为 OCg(n))。 一 个 在 时 间 复杂 度 上 最 有 效 的 算法 通常 不 一 定 是 在 空间 复杂 度 上 最 有 效 的 算法 ，。 

这 里 我 们 度量 的 是 算法 的 最 坏 情况 复杂 度 ， 即 对 最 坏 实例 的 度量 。 有 时 候 我 们 也 会 对 算法 的 

平均 复杂 度 感 兴趣 ， 平 均 复 杂 度 是 基于 某 个 概率 分 布 的 。 实 践 中 ， 我 们 很 少 有 实验 结果 来 证 实 待 
解决 问题 的 实例 以 一 种 特定 的 方式 分 布 。 困 此 ， 这 种 复杂 度 的 意义 通常 比 不 上 最 坏 情况 复杂 度 。 
本 书 中 ， 我 们 将 给 出 所 介绍 的 算法 的 复杂 度 。 我 们 通常 会 避免 分 析 繁 复 的 算法 复杂 度 的 过 
程 ， 而 是 向 读者 指出 相应 的 参考 文献 。 这 里 我 们 将 总 结 一 下 复杂 度 理论 中 的 一 些 重 要 事实 ， 这 可 
以 帮助 我 们 获得 一 些 有 关 算 法 效率 的 直观 感受 。 

< PO) BRENER, WIM ant tan ta nt t+ +a, 的 关于 nn 的 函数 ， 其 中 
Gor > a 为 整数 常数 。 一 个 多 项 式 的 次 数 是 指 其 中 出 现 的 最 高 的 宕 值 。 例 如 ，3n 十 9n: 十 3 是 
一 个 次 数 为 7 的 多 项 式 。 复 末 度 类 是 一 类 其 复杂 性 满足 某 些 给 定 要 求 的 计算 问题 。 下 面 给 出 一 些 
主要 的 复杂 度 类 ， 

log 复杂 上 度 为 O(logn)〉 的 问题 。 

polylog 复杂 度 为 OL(P(logn)〉 的 问题 。 

线性 一 一 复杂 度 为 O(n) 的 问题 。 

多 项 式 一 一 复杂 度 为 OC(P(n)) 的 问题 。 

指数 一 一 复杂 度 为 O(2"") 的 问题 。 


ZEKA EREXO”) 的 问题 。 


非 初 等 函数 一 一 对 于 这 些 问 题 ， 不 存在 一 个 固定 的 使 得 这 些 问题 的 复杂 度 为 O(2:" )， 
即 塔 状 的 上 层 指数 。 
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使 用 简单 的 算术 推导 就 可 以 证 明 ， 对 于 多 项 式 复杂 度 ， 复 杂 度 度量 中 最 重 可 的 因 式 是 最 高 
Br (固定 的 ) 指数 的 因 式 。 根 据 这 个 结论 ，OC3n' +9n'+3) SOC’) 是 相同 的 。 

为 了 演示 复杂 度 度量 ,我 们 考虑 规模 n=5, 10, 50, 100 和 500 的 问题 实例 。 为 简单 起 见 ， 
我 们 假设 在 下 面 所 有 的 例子 中 常数 c, 和 c 分 别 是 0 和 1。 完成 一 个 O(z) 的 算法 的 计算 过 程 所 花 
费 的 计算 时 间 分 别 是 5、10、50、100 和 500 个 时 间 单 位 ， 这 里 的 时 间 单 位 以 毫秒 为 例 。 对 于 复 
FREE BEE AOC?) 的 算法 ， 相 应 的 执行 时 间 将 分 别 是 25、100、2 500、10 000 和 250 000 毫秒 。 
FOr), AULT TIP HEE 125. 1000, 125000, 1000000 和 125 000 000。 对 于 指数 级 复杂 
度 O(2")， 这 个 时 间 是 32，1 024， 然 后 是 一 个 比 1125 后 跟 26 个 0 还 要 大 的 数字 ， 再 然后 是 一 个 
W. 3 后 跟 150 个 0 还 要 大 的 数字 ， 等 等 。 对 于 二 重 指数 复杂 度 O(2”) ， 即 使 是 对 于 第 一 个 例子 
”一 5， 都 将 会 花费 4294 967 296 毫秒 ， 比 7 个 星期 还 要 长 。 

如 果 买 一 台 更 快 的 计算 机 ， 比 如 一 台 比 我 们 以 前 用 的 计算 机 快 m 信 的 计算 机 ， 这 将 会 使 得 
计算 过 程 加 快 m 倍 ， 这 是 一 个 常数 因子 。 如 果 我 们 买 了 一 台 这 样 的 机 器 ， 就 只 要 花费 原来 花费 
时 间 的 1/m 来 解决 一 个 复杂 度 为 Ol(n) 的 线性 问题 或 者 可 以 花费 同样 的 时 间 来 解决 一 个 m fŠ 
大 的 问题 。 然 而 ， 如 果 间 题 的 复杂 度 为 OC(x)， 我 们 买 了 1 台 更 快 的 机 器 ， 在 同样 的 时 间 内 我 们 
只 能 解决 一 个 大 sgri(m) 倍 的 问题 。 在 解决 指数 复杂 度 的 问题 时 ， 更 快 的 机 器 带 来 的 帮助 并 不 是 
很 大 。 在 原来 的 计算 机 解决 一 个 规模 为 = 的 指数 级 复杂 度 的 实例 问题 所 需 的 时 间 内 ， 我 们 能 够 解 
BRK log(m) 倍 的 问题 。 因 此 如 果 计 算 能 力 增 加 了 100 倍 ， 我 们 也 许可 以 解决 一 个 规模 是 原来 8 
信 大 的 问题 (这 里 的 log 是 指 log,)。 计 算 速 度 增长 1 000 们 将 使 得 我 们 能 够 在 同样 的 时 间 内 解决 
一 个 规模 增 大 仅 10 倍 的 问题 。 就 算 使 用 一 组 计算 机 也 不 会 带 来 太 大 的 帮助 。 如 果 我 们 用 100 6 
计算 机 而 不 是 1 台 ， 我 们 最 多 以 100 为 因数 加 速 执行 过 程 。 能 这 样 做 的 前 担 条 件 是 我 们 可 以 把 问 
题 并 行 化 ， 并 且 以 最 优 的 方式 利用 这 组 机 器 。 遗 镶 的 是 ， 情 况 通常 不 是 这 样 的 。 例 如 ， 考 虑 这 种 
情况 ， 我 们 只 能 够 把 算法 执行 区 间 中 的 一 半 进 行 并 行 化 ，100 台 机 器 将 把 执行 时 间 减 少 到 原来 时 
间 的 /2 二 200 一 101/200。 也 就 是 说 ， 在 这 种 情况 下 ， 速 度 只 加 速 到 原来 速度 的 两 倍 左右 。 通 
常 来 说 ， 只 有 当 我 们 能 够 将 一 个 算法 的 绝 大 部 分 都 并 行 化 了 ， 我 们 才能 从 并 行 化 中 受益 。 

另 一 种 分 类 方式 是 确定 性 和 非 确定 性 的 复杂 度 度量 之 间 的 区 分 。 确 定性 复杂 度 是 指 常规 的 
计算 模型 。 在 这 种 模型 中 ， 每 个 点 上 ， 程 序 至 多 只 能 选择 一 种 继续 处 理 的 方法 。 需 要 注意 的 是 ， 
根据 当前 变量 的 值 ， 寺 thenrelse 语句 和 while 循环 都 只 提供 一 种 选择 。 

非 确定 性 模型 仅仅 是 一 种 数学 模型 。 它 指 的 是 这 样 一 种 执行 模型 ， 允 许 我 们 在 继续 执行 的 路 
径 中 作出 非 确定 的 选择 。 对 于 图 灵机 这 个 特定 的 情况 ， 给 定 当前 状态 和 当前 纸 带 位 置 上 的 符号 后 ， 
存在 不 止 一 个 可 采用 的 转换 。 一 个 非 确定 的 图 灵机 接受 一 个 输入 的 条 件 是 ， 如 果 在 这 个 输入 所 有 
可 能 的 执行 情况 中 至 少 有 一 个 是 可 接受 的 ,那么 图 灵机 就 接受 这 个 输入 。 对 于 非 确定 的 算法 ， 我 
们 度量 的 是 单一 的 能 终止 的 计算 过 程 所 需要 的 时 间 和 空间 。 非 确定 执行 模型 在 使 用 一 个 等 价 的 确 
定性 算法 进行 模拟 时 通常 会 带 来 时 间 上 的 指数 级 爆炸 。 能 否 以 一 种 确定 的 方式 实现 众多 的 非 确定 
性 算法 且 不 会 带 来 这 种 指数 级 的 爆炸 ， 这 在 目前 仍然 是 一 个 悬而未决 的 问题 (这 也 许 是 计算 机 科 
学 中 最 重要 的 一 个 问题 )。 人 们 怀疑 这 是 不 可 能 的 ， 但 还 没有 人 能 够 形式 化 地 证 明 这 结论， 

这 种 类 型 的 非 确定 性 只 是 断言 了 存在 一 种 在 给 定时 间 量 内 给 出 正确 答案 的 计算 过 程 。 这 种 
非 确定 性 与 并 发 理论 中 使 用 的 非 确定 性 有 所 不 同 ， 并 发 中 的 非 确定 性 将 在 后 面 的 第 4 章 中 讨论 ， 





O ”这 里 采用 的 是 原文 中 的 说 法 ， 但 原文 有 误 。 实 际 上 ， 计 算 机 速度 快 100 倍 ， 只 能 使 能 够 解决 的 问题 规模 增加 一 
个 常量 。 假 设 原来 的 计算 机 解决 规模 为 ”的 问题 需要 er 多 的 时 间 ， WARRE E nK Inl00 (不 是 In100 
倍 )， 它 花 的 时 间 就 会 增长 100 f 因为 100e 一 ee+mao) ) ， 也 就 是 说 快 100 售 的 计算 机 花费 同样 时 间 只 能 够 解 
决 间 题 规模 为 x 十 ln100 的 问题 。 因 此 ， 对 于 指数 复杂 度 的 问题 ， 即使 计算 机 的 速度 成 信 增 加， 问题 规模 的 增加 
也 是 有 限 的 。 这 一 段 中 关于 指数 复杂 度 的 说 法 都 是 有 问题 的 。 一 译 者 注 
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在 并 发 理论 中 ， 非 确实 性 是 由 进程 间 通 信 或 者 共享 变量 的 使 用 而 引起 的 。 那 么 ， 为 了 使 程序 能 够 
满足 它 的 规约 ， 我 们 希望 不 管 作出 什么 样 的 选择 ， 程 序 总 是 将 满足 它 的 规约 的 。 

当然 ， 在 实践 中 我 们 是 不 想 运行 一 个 非 确 定 的 算法 的 ， 非 确定 的 算法 中 有 一 种 计算 过 程 会 
给 出 正确 的 结果 ， 但 是 其 他 的 计算 过 程 则 其 至 不 能 保证 能 停止 。 在 复杂 度 理 论 中 使 用 非 确定 性 
仅仅 是 为 了 帮助 区 分 一 些 问题 的 复杂 度 。 对 于 某 些 重要 的 计算 问题 ， 确 定性 复杂 度 包含 的 信息 
更 丰富 ， 使 用 不 确定 性 复杂 度 很 大 程度 上 说 明了 我 们 关于 这 些 确定 性 复杂 度 还 缺乏 更 多 的 认 知 。 
我 们 将 遵循 计算 复杂 度 的 通常 意义 ， 且 在 适当 的 地 方 使 用 确定 性 或 者 不 确定 性 类 。 

复杂 度 类 通常 包含 下 列 三 个 指标 ， (1) 空间 或 时 间 ; (2) 度量 (如 多 项 式 、 指 数 ); (3) 确定 
或 不 确定 执行 模型 之 间 的 选择 ， 复 杂 度 类 的 名 称 反 映 了 这 些 选 择 。 考 虑 下 列 常见 的 复 染 度 类 ， 

NL 非 确定 性 对 数 空间 。 要 注意 的 是 空间 复杂 度 度 量 标准 不 考虑 输入 规模 (因此 空间 复杂 

度 可 以 小 于 线性 ) 。 这 个 类 中 的 算法 通常 都 是 很 高 效 的 。 

P 确定 性 多 项 式 时 间 。 这 个 类 中 的 算法 被 认为 是 高 效 的 ， 特 别 是 当 多 项 式 的 次 数 较 低 时 。 
在 实践 中 ， 这 个 类 中 的 绝 大 多 数 算法 都 有 固定 的 较 小 次 数 的 复杂 度 ， 例 如 OK ) CEM, 
OG) (立方 )， 因 此 它们 是 实用 的 。 虽 然 如 此 ， 一 个 复杂 度 为 O(zas ) 的 算法 虽然 被 认为 
是 多 项 式 复杂 度 的 ， 但 肯定 不 实用 。 

NP ” 非 确 定性 多 项 式 时 间 。 这 个 类 中 的 问题 通常 是 低 效 的 ， 因 为 当 把 它们 转换 为 确定 性 算 
法 时 会 引起 指数 级 的 爆炸 。 然 而 经 验 表 明 ， 在 很 多 实际 案例 中 存在 多 种 不 同 的 启发 式 的 
解决 方案 能 高 效 解 决 一 些 困难 的 NP 问题 。 

PSPACE 多 项 式 空间 。( 已 知 的 是 ， 确 定性 和 非 确定 性 多 项 式 空间 类 是 相同 的 [125],) 解 

决 这 种 复杂 度 的 问题 需要 较 大 型 和 快速 的 计算 机 。 我 们 仍 不 知道 是 否 存在 多 项 式 算法 能 
够 解决 所 有 的 PSPACE 问题 。 人 们 猜测 这 个 悬而未决 问题 的 最 终 回 答 是 否定 的 。 

EXPTIME 确定 性 指数 时 间 。 在 实践 中 只 能 应 用 到 小 规模 的 实例 上 。 

EXPSPACE 指数 空间 。 这 些 问 题 和 更 高 复杂 度 的 问题 只 有 当 输 人 被 限制 在 很 小 规模 的 实 
例 上 时 才 可 解 ， 比 如 n<, 

NONELEMENTARY 这 里 空间 和 时 间 都 是 相同 的 。 有 这 种 复杂 度 的 算法 被 认为 是 非常 非 
常 困难 的 。 

我 们 可 以 观察 到 类 名 开头 有 字母 N 的 类 对 应 于 一 个 非 确定 性 度量 ， 而 没有 N 时 则 对 应 于 一 
个 确定 性 度量 。TIME 和 SPACE 有 时 候 会 被 省 略 ， 通 常 在 实践 中 是 指 它们 其 中 的 某 一 个 ， 例 如 
NP 代表 了 NPTIME, 

已 知 

NL = P — NP C PSPACE c EXPTIME — EXSPACE 
其 中 某 些 类 之 间 存 在 严格 的 包含 关系 ， 例 如 PCEXPTIME， 但 我 们 不 知道 PC PSPACE 是 否 
成 立 。 

一 个 计算 问题 的 复杂 度 度 量 可 以 通过 上 界 或 下 界 的 形式 给 出 。 上 界 是 指 解决 这 个 问题 的 某 些 
具体 算法 能 达到 的 一 个 已 知 最 好 的 复杂 度 。 这 个 问题 仍然 可 能 存在 一 个 更 好 的 算法 (尽管 还 是 未 
知 的 )。 一 个 计算 问题 的 下 界 说 明了 解决 这 个 问题 的 难度 至 少 是 这 个 复杂 度 。 但 是 ， 并 不 需要 存在 
一 个 满足 下 界 复杂 度 的 具体 算法 。 为 了 说 明 下 界 ， 我 们 需要 定义 Q 表示 法 OOD) 如 下 ， 

一 个 算法 或 者 计算 问题 的 复杂 度 是 OCF) 仅 当 存 在 两 个 常数 o 和 c,， 使 得 对 于 

每 个 输入 规模 n> 的 实例 ， 在 图 灵机 上 运行 这 个 算法 〈 解 决 这 个 问题 》 所 需要 的 时 

间 / 空 间 至 少 是 c, X fn). 

如 果 一 个 问题 的 下 界 和 上 和 界 相同 ， 那 么 我 们 说 它 是 一 个 紧 至 的 复杂 度 界 ， 否 则 就 存在 -个 需 
要 进一步 研究 的 复杂 度 差距 。 对 于 计算 机 科学 中 的 许多 基本 问题 ， 紧 致 的 复杂 度 界 仍然 是 未 知 的 。 
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有 些 有 趣 的 问题 类 其 有 相同 的 复杂 度 差距 。 这 样 的 一 个 类 中 的 问题 通过 归 约 相互 联系 。 归 
约 是 一 种 “高 效 的 ”直接 转换 ， 例 如 ， 转 换 过 程 在 时 间 上 是 多 项 式 复杂 的 〈 不 同 的 复杂 度 类 可 能 
对 效率 有 不 同 要求 )。 一 个 问题 对 于 一 个 复杂 度 类 是 完备 的 ， 当 且 仅 当 它 属于 这 个 类 且 类 中 每 个 
其 他 的 问题 都 能 有 效 地 归 约 到 这 个 问题 。 直 觉 上 ， 一 个 完备 的 问题 至 少 和 该 类 中 的 其 他 问题 一 
样 难 。 这 样 的 复杂 度 类 的 例子 包括 PSPACE 完备 和 NP 完备 。PSPACE 完备 中 的 问题 能 够 用 多 项 
ASHAR, m NP 完备 中 的 问题 能 够 在 非 确定 性 多 项 式 时 间 内 解决 。 没 有 人 知道 这 些 类 中 任何 
一 个 问题 的 紧 致 复杂 度 下 界 是 什么 。 此 外 ， 如 果 一 旦 有 人 发 现 了 某 个 类 中 至 少 一 个 问题 的 确定 
性 多 项 式 时 间 算 法 ， 那 么 这 一 发 现 将 会 自动 地 为 该 类 中 的 所 有 其 他 问题 提供 多 项 式 时 间 算 法 。 

虽然 NONELEMENTARY 复杂 度 看 上 去 已 经 足够 坏 了 ， 但 它 还 不 是 最 坏 的 情况 。 可 计算 性 
理论 [69] 证 明了 有 些 问 题 不 可 能 用 任何 算法 解决 。 我 们 说 这 些 问题 是 不 可 判定 的 。 这 样 的 问题 
通常 很 一 般 ， 例 如 ， 确 定 一 个 程序 能 否 在 每 个 合法 的 输 和 人 上 都 停止 。 尽 管 这 最 初 看 起 来 好 像 是 一 
个 很 理论 化 的 问题 ， 但 这 个 问题 对 软件 可 靠 性 方法 的 打击 很 大 。 保 证 一 个 给 定 的 程序 能 够 终止 
当然 是 我 们 想 验证 的 属性 之 一 。 

诸如 检验 一 个 问题 在 给 定 的 输入 上 能 否 终止 ,这 样 的 问题 是 半 可 判定 的 《也 可 以 叫做 着 内 
可 枚 举 的 )。 这 意味 着 存在 一 个 算法 ， 当 肯定 的 答案 存在 时 ,该 算法 终止 并 给 出 正确 答案 ,但 是 
当 回答 为 否定 时 ， 这 个 算法 不 一 定 能 够 停止 。 对 于 检验 一 个 算法 在 某 个 输入 上 是 否 能 够 终止 这 
一 具体 问题 ， 我 们 可 以 简单 地 在 给 定 的 输入 上 模拟 程序 运行 ， 然 后 观察 模拟 过 程 是 否 停止 。 半 可 
判定 的 判定 问题 并 没有 相关 的 复杂 度 度 量 。 如 果 存 在 这 样 的 度量 ， 我 们 就 可 以 创建 出 一 个 判定 
过 程 ， 而 这 和 问题 的 半 可 判定 性 了 矛盾。 假设 要 构造 这 样 的 判定 过 程 ， 我 们 可 以 执行 半 判 定 过 程 ， 
直到 要 人 么 它 停止 ， 要 人 么 由 复杂 度 度 基 规定 的 时 间 被 用 尽 。 在 出 现 后 一 种 情况 时 ， 我 们 可 以 知道 答 
案 是 否定 的 。 

正如 后 面 的 章节 将 要 展示 的 ， 复 杂 度 和 不 可 判定 性 因素 对 软件 可 靠 性 方法 的 应 用 能 力 有 重要 
的 影响 。 不 可 判定 性 结果 对 演绎 验证 有 严重 的 后 果 。 它 表明 我 们 想 要 为 实际 系统 验证 的 绝 大 部 分 
属性 ， 诸 如 停机 、 服 务 的 授予 等 ， 都 不 能 以 算法 的 方式 完全 验证 。 正 如 我 们 将 看 到 的 ， 这 并 不 能 
阻止 训练 有 素 的 工程 师 、 数 学 家 或 逻辑 学 家 给 出 形式 化 的 证 明 。 但 是 ， 验 证 过 程 就 不 再 具有 时 间 
眼 制 。 不 管 怎样 ， 在 实战 中 ， 我 们 通常 只 尝试 证 明 那 些 按照 充分 理解 的 原理 运行 的 系统 的 正确 性 。 
在 这 种 情况 下 ， 对 于 这 些 方法 的 有 经 验 的 使 用 者 ， 应 该 能 够 利用 开发 人 员 的 直觉 对 系统 进行 验证 。 

某 些 计算 问题 的 高 复杂 度 ， 甚 至 是 不 可 判定 性 ， 都 不 应 该 阻止 研究 人 员 去 尝试 发 现 启发 式 
的 解决 方案 ， 即 能 够 高 效 解决 某 些 重 要 的 实际 案例 的 解决 方法 。 
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Software Reliability Methods 


逻辑 和 定理 证 明 





“正好 相反 ,” 特 威 度 迪 接着 说 ，“ 说 过 去 是 这 样 ， 也 有 可 能 ; 假设 是 这 样 ， 也 能 自圆其说 ; 
但 是 事实 不 是 这 样 ， 就 不 是 这 样 。 这 就 是 逻辑 。” 
刘易斯 ， 卡 洛 尔 《 爱 丽 丝 镜 中 奇遇 记 》 


数学 逻辑 提供 了 软件 验证 方法 的 基础 。 就 像 是 程序 设计 语言 ， 人 逻辑 结合 了 语法 和 语义 ， 语 法 
规定 如 何 来 写 合法 的 公式 ,语义 则 为 每 个 公式 给 出 明确 的 含义 。 数 学 逻辑 将 证 明 的 概念 形式 化 。 
本 章 中 ， 我 们 将 综述 一 阶 逻辑 和 命题 逻辑 ， 之 后 探讨 机 械 化 的 定理 证 明 的 精髓 。 定 理 证 明 工 具 通 
常 不 能 完全 自动 化 地 得 到 证 明 ， 而 是 在 证 明 的 过 程 中 保证 严密 性 并 提供 证 明 指引 ， 为 用 户 提供 
帮助 。 在 后 面 的 章节 中 ， 我 们 会 展示 各 种 逻辑 和 证 明 系 统 ， 它 们 可 以 通过 手动 、 计 算 机 辅助 或 完 
全 自动 化 等 方式 来 证 明 程序 的 属性 。 
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— MZ (first-order logic) 这 个 形式 化 方法 在 数学 中 常用 到 ， 例 如 在 微 积分 和 几何 中 ; 在 
计算 机 科学 领域 里 也 常用 到 ， 例 如 在 数据 库 和 人 工 智 能 中 。 我 们 在 第 7 章 将 会 看 到 ， 一 阶 逻 辑 在 
程序 验证 中 大 基 使 用 。 谓 词 ， 基 本 上 是 一 阶 逻辑 公式 的 一 种 受 限制 的 形式 ， 它 们 通常 在 if then- 
else 语句 或 者 while-loop 中 出 现 。 一 阶 逮 辑 使 用 变 元 (variable). KR 〈 例 如 “< 和”) 和 函数 CJ 
如 “X?” 或 “十 ”， 其 中 变 元 的 值 域 是 某 个 指定 的 论 域 (domain) ， 例 如 整数 或 实数 。 一 阶 逻辑 
可 用 于 推导 该 域 中 的 所 有 对 象 ， 或 者 断言 存在 一 个 对 象 满足 一 个 属性 。 

一 个 逻辑 被 称 为 是 一 阶 的 原因 是 其 公式 中 的 所 有 变 元 的 值 域 都 是 某 个 预先 指定 的 论 域 〈 例 
如 整数 ) 。 在 二 阶 远 辑 (second-order logic) 中 ， 则 既 可 使 用 简单 变 元 也 可 使 用 集合 变 元 ， 而 后 者 
的 取 值 可 以 是 对 象 的 集合 。 这 样 ， 如 果 z 是 一 个 简单 变 元 而 Y 是 一 个 集合 变 元 ， 就 可 以 在 二 阶 
逻辑 中 表达 一 个 公式 zEY， 其 含义 是 变 元 z 所 代表 的 值 包含 在 变 元 Y 所 代表 的 集合 中 。 而 三 阶 
逻辑 则 包含 更 为 复杂 的 变 元 ， 代 表 集 合 的 集合 ， 以 此 类 推 。 

一 阶 逻 辑 构 成 了 数据 库 理 论 的 理论 基础 [2]。 程 序 设 计 语言 Prolog [32] 及 衍生 的 Datalog 
的 语义 和 语法 就 来 自 一 阶 逻辑 ， 其 执行 机 制 则 基于 逻辑 推理 。 使 用 基于 逻辑 的 程序 设计 语言 
自动 地 提供 更 高 层次 的 可 靠 性 ， 因 为 程序 可 以 被 看 做 是 其 自身 的 规约 。 然 而 ， 这 并 不 能 保证 这 样 
的 程序 一 定 能 够 终止 。 这 个 属性 需要 另 作证 明 。 


3.2 项 


一 阶 项 (term)〉 是 根据 一 阶 逻辑 的 精确 语法 来 表示 的 表达 式 。 我 们 将 首先 定义 项 的 语法 ， 然 
后 给 出 其 语义 解释 。 一 个 签名 〈signature)g 一 (了 ， 正 ， 民 ) 包括 三 个 不 相交 的 集合 ， 变 元 符号 集 
合 V、 函 数 符号 集合 下 和 关系 符号 集合 尺 。 这 些 仅 是 语法 对 象 ， 而 并 无 先 验 的 特殊 含义 。 因 为 我 
们 只 能 使 用 有 限 数量 的 字符 ， 所 以 很 难为 每 个 函数 或 关系 使 用 不 同 的 字符 。 因 此 ， 我 们 经 常 使 用 
程序 设计 语言 的 语法 来 表示 符号 :由 一 个 字母 开头 ， 之 后 是 字母 、 数字 和 下 划 线 “_” 的 任意 组 : 
合 。 从 现在 开始 ， 我 们 假定 可 以 从 上 下 文 推断 出 一 个 符号 表示 的 是 变 元 、 函 数 或 是 关系 。 f 

我 们 接 下 来 为 属于 某 个 签名 的 每 个 函数 或 关系 符号 指定 元 数 (arity) ， 也 就 是 其 参数 的 个 数 ， 
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例如 ， 加 法 函数 add 的 元 数 是 2 sine 函数 的 元 数 是 1， 而 关系 ge (表示 “大 于 或 等 于 ”) 的 元 数 
是 2。 常 量 符号 ， 例 如 zero 或 one， 则 被 看 做 是 0 元 的 函数 符号 。 

项 就 是 用 函数 符号 和 变 元 构造 的 表达 式 。 例 如 ， 令 ol 为 一 个 变 元 ，zero Mone BHM, add 
是 二 元 的 函数 符号 。 那 么 ，add (one, one) 和 add (add (one, one), 11) 就 是 项 。 我 们 用 在 定 
义 程序 设计 语言 结构 时 经 常用 到 的 BNF 记 法 来 定义 项 的 语法 : 

term :1= var |const | func (term , term ++ , term) 
其 中 var 是 变 元 符号 ，func 是 函数 符号 ， 而 cont 是 常量 符号 。 在 BNF R, “ :一 ”表示 “定义 
为 “ ”而 竖 直线 用 来 分 隐 定 义 中 不 闻 的 选择 。 这 样 ， 一 个 项 可 包含 : (1) 变 元 符号 ; (2) 常量 符 
号 ; (3) 阔 数 符号 后 面 跟着 左 括号 ， 接着 是 由 逗号 分 隔 的 项 的 列表 ， 最 后 是 右 括 号 。 在 (3) 中， 
每 个 项 又 是 由 同一 个 BNF 公式 来 递归 定义 的 。 在 这 个 BNF 定义 之 外 ， 我 们 还 有 如 下 约束 : 在 一 
个 二 元 函数 符号 后 的 括号 中 必须 有 ?= 个 项 ， 并 用 逗号 分 隔 。 

相应 地 ，wl 是 一 个 变 元 ， 因 此 是 一 个 项 ; one 是 一 个 常量 ， 因 此 是 一 个 项 ，add (one，one) 
也 是 一 个 项 ， 它 将 二 元 函数 符号 应 用 到 两 个 项 上 (我 们 已 经 说 明 它 们 都 是 项 ); add (add (one， 
one), v1) 还 是 一 个 项 ， 它 再 次 将 函数 符号 add 应 用 在 前 面 的 两 个 项 上 。 在 下 面 的 讨论 中 ， 我 们 
放宽 这 些 记 法 ， 人 允许 使 用 常见 的 数学 和 程序 设计 语言 函数 以 及 常量 符号 ， 例 如 “十 ”或 175。 此 
外 ， 我 们 还 允许 使 用 中 缀 表达 式 ， 也 就 是 说 ， 将 关系 符号 放 在 两 个 操作 数 之 闻 ， 例 如 v1 十 1。 

到 目前 为 止 ， 我 们 还 没有 给 这 些 定义 的 对 象 赋 予 其 特定 的 含义 语义 )。 让 项 add(add (one， 
one), vl) 表示 变 元 wl 加 2 的 值 看 起 来 是 很 直观 的 。 然 而 ， 仍 然 需 要 形式 化 地 定义 写 下 的 符号 
和 期 望 的 含义 之 间 的 联系 。 为 了 解释 项 ， 我 们 首先 假定 一 个 给 定 的 论 域 ， 也 就 是 一 个 值 的 集合 
D. 例如， 这 个 论 域 可 以 为 ， 

。 整数 。 

。 自然 数 ， 也 就 是 正 整 数 和 0。 - 

。 有 理 数 ， 也 就 是 能 够 由 两 个 整数 相 除 得 到 的 数 (除数 不 能 为 0) 

。 定义 在 某 个 字母 表 上 的 串 。 f 

一 阶 结构 是 在 一 个 给 定 签名 的 基础 上 定义 的 。 结 构 S= (G6, D， 下 ， R, P) 包括 签名 9 一 (Y， 
F, R), $R (也 就 是 集合 ) D、 函 数 集合 玉 (包括 常量 )、 关 系 集合 允 ， 以 及 映射 ft FUR> 
FUR. 它 把 签名 中 的 函数 和 关系 符号 分 别 映 射 到 论 域 D 上 的 实际 函数 和 关系 。 EA, mB 
符号 sub 可 由 /映射 到 整数 域 上 的 减法 。 关 系 符 号 ge 可 由 f 映射 成 一 个 关系 ， 该 关系 包含 所 有 
第 一 个 整数 大 于 或 等 于 第 二 个 整数 的 整数 对 。 映 射 必须 保持 函数 和 关系 的 元 数 不 变 。 也 就 是 
Wo ETRA n 的 沙 数 符号 映射 到 带 有 nn 个 参数 的 函数 上 ， 将 元 数 为 n 的 关系 符号 映射 到 带 有 
n 个 参数 的 关系 上 。 

逻辑 的 语法 规定 了 如 何在 一 张 纸 上 或 计算 机 内 存 中 表示 一 个 函数 或 关系 符号 ， 以 及 更 为 复杂 
的 对 象 ， 比 如 项 和 公式 。 语 义 则 把 这 些 记 号 连接 到 (或 者 说 映射 到 ) 数学 对 象 。 相 应 地 ， 一 阶 逻 
辑 的 签名 规定 了 可 以 用 于 指 代 函 数 或 关系 的 语法 对 象 〈 符 号); JE 3485 #5 J rh ñ 2y tD. FARMA 
于 提供 对 应 的 数学 对 象 。 语 法 解释 函数 f 则 用 来 把 签名 中 的 语法 对 象 和 对 应 的 数学 对 象 联系 起 来 。 

举例 来 说 ，f 可 将 函数 符号 add 映射 到 整数 上 的 加 法 ， 我 们 通常 用 “十 ”表示 。 注 意 “ 十 ” 
本 身 也 只 是 一 个 语法 对 象 ， 一 个 可 以 打印 出 来 的 符号 。 我 们 通常 为 “十 ”附加 了 加 法 的 含义 。 这 
个 符号 事实 上 被 重 载 了 ， 它 表示 诸如 整数 、 实 数 、 有 理 数 以 及 复数 上 的 加 法 。 我 们 通常 假设 通过 
上 下 文 可 以 确定 恰当 的 论 域 。 


3.2.1 赋值 和 解释 
SAR (assignment) a 将 变 元 集合 V 中 的 变 元 映射 到 论 域 D 中 的 值 ， 我 们 用 a: V 一 D 来 表示 。 
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例如 ， 如 果 D 是 整数 集 ， 变 元 集合 V 是 (vl, v2, v8}, RITES a=(vl1 3, v20, 
v3 一 5}。 本 书 中 ， RTH Ret) 赋值 和 程序 设计 语言 中 的 赋值 不 同 : 前 者 将 集合 
中 的 每 个 元 素 映 射 为 某 个 论 域 上 的 值 ， 后 者 的 作用 是 在 程序 运行 时 改变 某 个 指定 变 元 的 取 值 。 

我 们 用 terms 表示 签名 8 上 的 所 有 项 。 现 在 我 们 可 以 定义 语义 解释 (semantic interpreta- 
tion) T, : terms(9) 一 D， 它 将 每 个 项 映射 为 论 域 中 的 值 。 需 要 注意 的 是 ， 该 解释 仍然 依赖 于 屿 
值 a， 其 定义 是 递归 的 ; 

T.G) = a(WD, 对 于 vEV 
TCfuncle ses "s e,)) = fC func) (T, (e), T. Ce), T, Ce,)) 

第 一 行 定义 了 变 元 的 解释 是 其 在 赋值 < 下 的 值 。 第 二 行 是 项 的 递归 定义 。 一 个 形 如 e= 
funcle,, «+, eT e。 的 解释 可 以 按照 如 下 方式 得 到 我 们 首先 得 到 f( func)， 也 就 是 在 一 阶 
结构 S 上 func 关联 的 实际 函数 。 因 为 项 ae，…，e 比 e 短 ， 假 设 我 们 已 经 知道 如 何 递归 地 应 用 
T, 解释 它们 ， 并 得 到 T ea)，…，T Ce). RRA EK n MALAI £Cfunc), Bale 的 
解释 。 

考虑 如 下 的 例子 ， 整 数 域 和 赋值 a= H2, e3, B4). S fH add 映射 到 整数 上 
的 加 法 。 我 们 有 : | 

T. (vl) = a(%1) = 2 
T.Co2) = a(%2) = 3 
T, (v3) = a(%3) = 4 
T, (add (v1,v2)) = f(add) (T,(v1),T, (v2) 一 2 十 3 一 5 
T, (add (add (vl , v2) ,v3)) = fladd)(T,(add (vl.v2)),T,(v3)) = 5+ 4 = 9 

将 语法 和 语义 费 尽 心机 区 分 开 的 做 法 ,一 开始 看 起 来 很 复杂 而 且 似 乎 没 必要 。 但 是 ， 这 个 区 
分 是 非常 有 用 的 通过 指明 记 法 (语法 ) 和 含义 语义 ) 之 间 的 关系 ， 一 阶 逻 辑 介 许 我 们 证 明 论 
域 上 的 属性 。 这 样 的 证 明 是 基于 语法 的 ， 因 为 它 通过 对 ( 写 在 纸 上 或 是 表示 在 计算 机 内 存 中 的 》 
公式 进行 字符 串 操 作 来 完成 证 明 。 然 而 ， 使 用 语义 解释 ， 这 些 囊 操作 的 结果 可 立即 被 投射 回 所 讨 
论 的 数学 对 象 。 


3.2.2 多 个 论 域 上 的 结构 


对 软件 系统 进行 推理 可 能 需要 多 个 论 域 。 例 如 ， 我 们 可 能 需要 同时 在 整数 和 字符 申 上 进行 
推理 。 在 这 样 的 情况 下 ， 在 恰当 的 参数 类 型 上 应 用 函数 和 关系 时 必须 小 心 。 在 这 个 扩展 下 ， 每 个 
变 元 可 能 被 赋予 一 个 特定 论 域 中 的 值 。 

函数 和 关系 符号 可 能 和 多 个 论 域 相关 。 函 数 和 关系 的 每 个 参数 ， 以 及 函数 的 结果 ， 都 必须 确 
定 在 某 个 论 域 上 。 举 例 来 说 ， 我 们 可 以 定义 字符 串 论 域 上 的 函数 iength， 其 值 是 一 个 字符 目的 长 
度 ， 它 是 一 个 自然 数 。 对 于 多 论 域 一 阶 逻辑 的 更 多 细节 ， 可 参见 其 他 文献 ， 如 [38]. 


3.3 一 阶 公式 
我 们 仍然 首先 介绍 语法 。 在 项 上 应 用 关系 符号 即 构造 得 到 简单 公式 ， 其 语法 为 
simp _ form ::= rel (term ,term ,*** ,term) | erm = term 
其 中 rel 是 关系 符号 。 举 例 来 说 ，geCadd(one，one)， zero) 是 一 个 简单 公式 ， 因 为 二 元 关系 ge 应 
用 在 两 个 项 add (one, one) 和 zero F, 我们 总 是 将 特别 关系 “二 =” 包括 进来 ， 它 表示 “等 于 ”。 
一 阶 公式 包括 了 如 上 所 述 的 简单 公式 。 另 外， 它们 还 可 通过 递归 地 应 用 布尔 运算 符 “人” 
《和 )、“V” GR), €” GED DR A” iS), RE-TAAM HIN L—t Bq (quantifier) 
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“Y”( 对 于 所 有 ) R “I” E) 及 一 个 变 元 名 得 到 。 如 下 所 示 : 
form ::= simp_form | (form N form) | (form V form) | (form — form) | 
(~ form) | V var( form) | J var( form) | true | false 
例如 ， 
(ge(Cone,zero) 人 geCadd Cone,one),v1)) (3.1) 
是 一 个 公式 。 同 样 ，YV v1( v2(ge(v2，v1))) 也 是 公式 。 如 果 公 式 中 的 某 一 部 分 本 身 也 是 一 个 
公式 ， 那 么 这 一 部 分 称 为 原 公式 的 子 公式 。 这 样 geCone, zero), ge(add(one, one), vl) 以 及 
A 〈3. 1) 自 身 都 是 式 (3.1) 的 子 公式 。 _ 
SRSRFRUAARU, HRBAAZANKAEATUPHRNSR KES, Ol, T 
定 符号 “~” 通常 比 合 取 符号 “人 ”的 优先 级 高 ， 而 合 取 符 号 “ 八 ” 又 比 析 取 符 号 “V ”的 优先 
BE. MRAR A” MV? BERAR, EREM o Vu Vu 和 CCo Vu) Vo) 相同 。 
《更 仔细 地 观察 布尔 运算 符 的 语义 就 会 发 现 ， 多 个 合 取 或 析 取 的 结果 与 括号 的 位 置 无 关 .) 我 们 总 
是 可 以 忽略 最 外 层 的 括号 。 
也 人 允许 使 用 常见 的 数学 或 程序 设计 语言 中 的 关系 符号 ， 例如“ 尘 ”， 并 使 用 中 缀 记 法 。 相 应 
地 ， 式 (3.1) 可 表示 为 
1>0 A 1+12> 1 (3.2) 
在 形 如 jy A No Ap, 的 公式 或 子 公 式 中 ， 我 们 说 每 个 u: 都 是 一 个 合 取 项 (conjunct)。 类 
(ih TEER Vin V e Vw 的 公式 或 者 子 公 式 中 ， 我 们 说 每 个 v 都 是 一 个 析 取 项 (disjunct), 
在 后 面 的 章节 中 ， 我 们 也 使 用 这 样 的 表示 方法 人 ws MV ly. 


现在 我 们 将 描述 一 阶 公式 的 语义 解释 。 首先 ， 关系 符 号 “= 二 ”是 标准 的 “等 于 ”关系 。 这 
PE, l= Mo AY vl 和 v2 被 赋予 相同 的 值 ， 即 当 ea(ol) 一 a(z2) 时 成 立 。 此 后 ， 我 们 将 
要 注意 ， 在 逻辑 内 使 用 “ 盖 ” 符 号 表示 相等 ， 而 在 逻辑 外 使 用 “一 ”表示 对 象 之 间 的 相等 。 这 个 
区 别 在 逻辑 形式 系统 中 很 常见 ， 我 们 必须 小 心 避免 混淆 目标 逻辑 内 部 的 断言 和 关于 这 个 钦 辑 的 
断言 。 然 而 ,很 多 逻辑 书籍 不 区 分 符号 “= 二 ”和 “二 =”?。( 在 程序 上 下 文中 ， 我 们 使 用 通常 的 程序 
设计 语言 的 语法 ， 用 “一 ”表示 相等 ,) 关于 逻辑 的 断言 通过 自然 语言 〈 例 如 英语 ) 表示 ， 我 们 
通常 称 之 为 元 语言 (meta language), 
回顾 一 下 ，f 是 从 关系 符号 到 关系 的 保持 元 数 的 映射 ， 例如， leq 《小 于 或 等 于 ) 被 映射 为 整 
数 对 之 间 的 标准 关系 ， 通 常用 “< 和 ”表示 。 令 forms(G) 表示 签名 9 上 的 一 阶 公式 集合 。 解 释 映射 
M, * forms(G)>{TRUE, FALSE} 将 布尔 值 (或 者 说 真 值 )， 也 就 是 TRUE 或 FALSE ， 赋 给 每 个 
公式 。 解 释 仍然 依赖 于 赋值 a。 我 们 首先 给 出 不 包含 量词 “Y” 和 “3” 的 公式 的 解释 。 
M, (pred (es ,e,)) = SI (pred) (T, (e,) 5+, T, Ce, )) 
M, Ce, = e) = (T, Ce.) = T,(e)) 
M,(f1 A f2) = TRUE iff(M,(f1) = TRUE and M,(f2) = TRUE) 
M,( fl V f2) = TRUE iff(M,(f1) = TRUE or M,(f2) = TRUE) 
M, (fl — f2) = TRUE iff(M,(f1) = FALSE or M,(f2) = TRUE) 
M,( f1) = TRUE iff(M,(f1) = FALSE) 
M, (true) = TRUE 
M, ( faise) = FALSE - 
公式 语义 解释 的 第 一 行 应 按 如 下 方式 理解 ， 首先， 我 们 用 项 的 解释 函数 T, 解释 项 e, ，…， 
ess RAE TC), =s, Tale), ME, fOreD 是 对 应 语法 符号 rel 的 关系 ， 这 个 关系 应 用 到 上 
面 的 值 ， 可 得 到 TRUE st FALSE, 
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常量 关系 符号 true 和 false 分 别 被 解释 为 TRUE A FALSE (依据 上 面 语义 定义 的 最 后 两 
行 ) 。 我 们 本 来 可 以 直接 使 用 布尔 值 TRUE 和 FALSE 〈 正 如 有 些 书籍 中 就 采用 这 样 的 非 形 式 化 
的 方法 ) 。 然 而 ， 我 们 小 心地 区 分 了 语法 常量 和 语义 值 。 注 意 我 们 可 以 用 pV 一 g 来 替代 true， 从 
而 在 语法 中 消去 true, XB p 可 以 是 任意 公式 ， 类 似 地 ， 我 们 也 可 以 用 pA op 363848 false. GE 
意 记 法 if， 读 作 “ 当 且 仪 当 ”， 其 意思 就 是 “其 确切 条 件 是 ”。》 

注意 简单 公式 的 解释 中 使 用 了 项 解释 孙 数 T,。 同 时 ， 上 面 公式 的 语义 解释 中 的 第 二 行 ， 即 
关于 el 三 ez 的 部 分 ， 包括 了 三 个 表示 等 价 的 符号 ， 第 一 个 是 “二 ”符号 ， 是 我 们 在 逻辑 中 表示 等 
价 的 一 阶 符号 ; 第 二 个 ， 用 “一 ”表示 ， 其 含义 是 左边 的 一 阶 项 的 解释 通过 右边 的 等 式 定义 ;第 
三 个 ， 也 用 “二 ”表示 ， 要 求 两 个 计算 值 之 间 相 等 。 

在 赋值 a= {11 2, 23, 3e) 下 解释 公式 

p = ge(add (add (vl,v2) ,v3) ,v2) A ge(v3, zero) 


可 按照 如 下 方式 进行 ， 
T, (add (add (v1, v2) ,v3)) 一 9( 如 3.2 节 所 示 ) 
T,(v2) = 3 
T, (v3) = 4 
T, Czero) = 0 
M, (ge (add (add (v1 5 v2) ,v3) ,v2)) = fC ge) (T, (add (add (v1, v2) ,v3)) , T, (v2)) 
= 9 > 3 = TRUE 
M, (ge (3 ,zero)) = f(ge)( T. (v3), T, (zero)) 
= 4> 0 = TRUE 


M,<¢) = TRUE 
为 了 给 出 带 有 存在 量词 C“ 3") 和 全 称 量词 CV") 的 公式 的 语义 定义 ， 我 们 首先 定义 变 体 
《variant) 这 一 概念 。 令 a 是 赋值 ，v 是 变 元 ， 而 d 是 给 定论 域 D 中 的 一 个 值 。 变 体 a[d/o] 表示 
的 赋值 和 < 相同 只 是 将 值 d 赋 给 了 变 元 vu。 形式 化 定义 如 下 ， 
alu) wRutyv 
ald/v]Ga) = d wR ¿= O 
带 量 词 的 公式 的 语义 如 下 定义 ， 
M,( V p) = TRUE iff 对 DD 中 的 每 个 d,Miwa (9) = TRUE 
M,C 4 vg) = TRUE iff EDF # # d EE Mia (gp) = TRUE 
第 一 行 定义 指出 :，Y wvC(p) EARM a 下 是 TRUE 的 充 要 条 件 是 对 于 任何 仅 在 变 元 "的 取 值 
ERa 不 同 的 变 体 ，p 都 是 TRUE。 我 们 把 这 个 公式 读 作 :,“ 对 于 的 所 有 值 ， 9 成 立 ”; 类 似 地 ， 
dug) 读 作 :“ 存 在 "的 一 个 值 使 得 p 成 立 ”。 
当 结 构 S 可 以 由 上 下 文 推出 时 ，M.(g) 一 TRUE 通常 被 记 为 中 -sp， 读 作 “在 结构 S 下 a 满足 
2” 。 如 果 对 于 每 个 赋值 a MA ap WASE g HRD, 并 记 为 瞩 p。 如 果 对 于 每 个 S 都 有 上 5， 
那么 e 称 为 重 言 式 (tautology， 又 称 永 真 式 )， 并 记 为 请。 如果 对 于 任何 赋值 a 和 任何 结构 6， 
4p 痢 不 成 立 CBT a YRR), BA p 是 矛盾 式 《contradiction) 。 注 意 ，p 是 重 言 式 当 且 
仅 当 ”9p 是 矛盾 式 。 
上 面 对 “ 片 ”符号 的 三 处 使 用 之 间 的 细微 差别 很 重要 我 们 通过 如 下 的 例子 来 解释 ， 
° 考虑 ah-“z= 王 >?X2， 其 中 S 是 包含 了 整数 域 的 结构 ， MERKA “X” PRIRA., HF 
例如 z 为 6、? 为 3 的 赋值 a，x 三 yX2 成 立 。 然 而 ， ZX 三 yX2 并 不 总 是 成 立 ， 比 如 当 a 
赋值 z 为 2 而 > 为 3 时 。 
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。 考 虞 三 YX2 三 xz 十 x， 其 中 5 是 包含 了 整数 域 的 结构 ， 而 二 元 函数 “X” 和 “十 ”分 别 解 
释 为 整数 相 乘 和 相 加 。 无 论 实 际 上 什么 值 被 赋 给 了 变 元 z， 一 阶 属性 zX2 三 z 十 x 在 这 个 
结构 中 都 成 立 。 因 而 ，S 是 这 个 公式 的 模型 。 : 

从 另 一 方面 来 说 ， 瞩 xX2 三 zx 十 zx 则 不 成 立 。 举 例 来 说 ， 给 定 整 数 域 上 的 模型 8'， 其 中 
“X” 表 示 在 其 参数 的 二 进 制 形式 〈 例 如 常数 2 表示 为 0010) 上 的 位 与 运算 符 ， 而 “十 ” 
表示 位 或 运算 符 。 

。 最 后 ， 考 虑 瞩 (z 三 y 人 y 二 xz) 一 z 二 x。 后 一 个 公式 表示 了 标准 等 价 关系 的 传递 性 。 它 不 依 

赖 于 结构 或 赋值 。 因 此 ， 它 是 一 个 重 言 式 。 

在 一 阶 公 式 中 ， 变 元 "在 形 如 Yu(p) RIK 的 子 公式 中 的 任何 出 现 ， 叫 做 受 限 〈quant 
fied) 的 出 现 ， 任 何其 他 的 出 现 称 作 自 由 出 现 。 根 据 上 面 的 讨论 ， 我 们 有 ， 如 果 户 史 或 FFp 时 ，p 
的 真 值 不 依赖 于 9 中 出 现 的 自由 变 元 的 值 。 因 此 ， 这 些 情况 下 ， 片 多 或 上 户 p DRA RE S'S 
同 ， 其 中 w 是 在 o 的 每 个 自由 变 元 上 应 用 全 称 量词 得 到 的 一 一 举例 来 说 ，3jz(y<zAz<z) 可 
以 写成 VYyV xz3 x(y<zxAz<z)。 事实 上 ， 如 果 pg 不 包含 自由 变 元 ， 那么 S 下 p 的 真 值 不 依赖 于 
任何 赋值 a。 这 样 ， 如 果 aF 2 MRAM Ra, MAR oO 成 立 。 反 过 来 说 ， 根据 定义 ， 如 
果 户 sg 成 立 那么 对 于 每 个 赋值 ap 都 成 立 。 

有 趣 的 是 ， 给 定 一 个 结构 S， 对 于 每 个 一 阶 公式 p KH, EA ap RE, BA a 39 HË 
立 。 当 gp 中 没有 自由 变 元 时 ,我 们 还 可 以 得 出 结论 : BAR “oRy, BZ p RE BH 
面 ， 如 果 p 既 不 是 重 言 式 又 不 是 矛盾 式 ， 那 么 可 能 厂 g ME p 都 不 成 立 。 

为 了 说 明 逻 辑 的 语法 和 语义 之 间 的 区 别 ， 考 虑 如 下 的 公式 : 

p= Yul Yull < v2 > Jv3(ul < v3 A v3 < v2)) 
如 果 没 有 进一步 了 解 公式 在 什么 结构 下 进行 解释 ， 我 们 就 不 能 说 这 个 公式 成 立 还 是 不 成 立 。 尽 
管 我 们 可 以 猜测 “一 ”表示 “小 于 ”关系 ,但 不 能 保证 每 个 结构 都 是 这 种 情况 。 此 外 ， 即 使 
“<” 真 的 是 “小 于 ”， 我 们 也 还 需要 注意 这 个 关系 可 以 在 不 同 的 论 域 上 解释 。 假如 论 域 是 实数 ， 
那么 这 个 公式 表示 的 就 是 ， 对 于 每 对 赋 给 vl 和 v2 的 值 ， 若 v1 W 吧 小 ,那么 必然 有 一 个 实数 什 
v8 HE vl 和 只 之 间 。 这 个 公式 对 于 实数 怡 好 是 成 立 的 。 现 在 ， 假 设 论 域 是 整数 ， 那 么 这 个 公式 
就 不 成 立 。 因 为 两 个 相 邻 整数 例如 2 和 3) 之 间 并 没有 其 他 整数 。 

对 于 公式 p、 项 。 MEG v， 定 义 gLe/w] 表示 通过 在 o 中 用 项 。 替 换 v 的 每 次 自由 出 现 而 
得 到 的 公式 。 (注意 受 限 出 现 不 被 替换 .) 进一步 地 ， 我 们 不 允许 将 包含 v 的 某 个 自由 出 现 的 项 
替换 为 包含 一 个 在 替换 处 受 限 的 变 元 的 项 。 下面 的 例子 解释 为 什么 需要 这 个 限制 。 考 虑 公式 
Vx(zy>z>z)。 当 该 公式 在 整数 上 解释 ， 并且 “>>” 解 释 为 “大 于 ”了 时， 这 个 公式 表示 y 
大 于 或 等 于 z。 现 在 ， 如 果 我 们 允许 用 z 一 1 替换 y Cr 在 替换 处 受 限 一 — 译 者 注 )， 我 们 就 得 到 
V z(z2>z=—1l1—=zxz> z), AW zz 一 1 对 于 所 有 的 整数 都 成 立 ， 所 以 这 个 公式 断言 任意 数 都 比 > 
大 。 这 是 一 个 错误 的 命题 ， 因 为 整数 中 没有 最 小 数 。 

注意 ， 被 替换 的 变 元 仍 可 以 包含 在 替换 它们 的 项 中 。 因 此 ， 在 把 该 变 元 替换 为 相应 的 项 之 后 
不 能 再 重复 进行 替换 。 例 如 ， 车 p 一 中 之 v2， 那 么 glult1/vl] RE t>, MERSER 
考虑 ， 这 个 替换 过 程 就 不 会 停止 。 

对 赋值 和 公式 的 更 换 使 用 相似 的 表示 方式 ， 这 并 不 是 偶然 的 。 通 过 对 公式 的 大 小 进行 归纳 
(参见 其 他 文献 ， 如 [38])， 我 们 可 以 证 明 对 于 每 个 一 阶 公式 p、 项 。 和 变 元 w， 只 要 可 以 进行 普 
Bole/v], RNA, 





al T. (e) /vy 当 且 仅 当 aF-*gle/v] 
这 一 联系 说 明了 语法 替换 和 语义 替换 之 间 的 关系 。 在 语义 方面 〈 左 侧 ) ， 我 们 令 的 值 为 表达 式 。 
(在原 赋值 下 〉 的 值 T,(e)， 得 到 赋值 4. 的 变 体 。 在 语法 方面 〈( 右 侧 ) ， 我 们 用 表达 式 ¿ 替换 恋 
元 v 的 每 次 出 现 。 
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我 们 有 时 写成 pors ws tts Ww), MIREJ v, ws o ú, 是 公式 gp 中 的 自由 变 元 。 相 
应 地 ， 我 们 可 以 用 gles es es e) 表示 将 p 的 自由 变 元 o, 替换 为 表达 式 e; 而 得 到 的 公式 。 这 
样 ， RUTER p (y, 2 = 3xz(y<xAÀA xz<z), BA 93, tH 就 是 3z(3<zAxz<<t 十 4) 。 

Kpy ME pyt, RIH p thy ® (stronger), 或 5y 比 g 能 (weaker)。 用 结构 的 概念 
KH, Hory RRENA p 成 立 的 结构 和 赋值 〈 可 能 还 有 一 些 其 他 的 结构 ) 下 ,y 成 立 。 当 op 
E g ik, AR ¿+E EE 2 强 时 ， 我 们 说 pg 和 y 是 逻辑 等 价 的 《logically equivalent), 

在 看 比较 老 的 逻辑 书 时 ， 有 一 点 容易 引起 误解 。 这 些 书 中 ， 蕴 合 符 号 “->” 有 时 写作 “ 刁 ”。 而 
这 个 符号 现在 通常 被 用 于 集合 包含 。 在 gy 中 使 用 这 个 记 法 ,恰恰 和 以 下 事实 相反 使 得 p 成 立 的 
结构 的 集合 包含 在 使 得 yy 成 立 的 结构 的 集合 中 。 也 就 是 说 ， 如 果 瞩 py, 那么 S|EWCISIE® p 


表达 能 力 


形式 化 方法 非常 重要 的 一 个 属性 就 是 其 表达 能 力 (expressiveness) 。 表 达能 力 指 的 是 这 个 形 
式 化 方法 表述 说 明 的 能 力 。 考 虑 给 定 的 签名 9。 令 ZH 表示 9 上 具有 我 们 想 要 描述 的 特别 属性 的 结构 
的 集合 ， 而 9 上 其 他 的 结构 不 满足 这 个 属性 。 我 们 说 一 个 逻辑 能 够 表达 这 个 属性 ， MRAZ š8 fü 
许 写 出 一 个 在 9 上 的 公式 p， 使 得 p 恰恰 对 了 中 的 结构 成 立 。 

举例 来 说 ， 考 虚 一 个 包含 二 元 关系 R 的 签名 ， 该 关系 代表 一 个 图 。 我 们 可 以 用 一 阶 逻辑 描 
述 下 面 的 属性 : f 

° FF HK) CARR 是 对 称 的 )。 

VrVyCGz R y— y R zx) 
° 没有 孤立 节点 ， 即 所 有 的 节点 都 和 其 他 节点 相连 。 
Vr3y(zR y V y Rz) 
2 Jl, +B 4 163648 MAW N E E AA Brie RRR. 

。 图 是 有 限 的 。 

° AHAH Cycle), 

。 图 是 连通 的 《〈 即 只 包含 一 个 强 连 通 分量 ) 。 


3.4 命题 逻辑 


命题 还 辑 (propositional logic) 是 比 一 阶 逻 辑 简 单 的 形式 化 方法 ， 它 不 包含 量词 ， 也 不 允许 
销 数 和 关系 符号 (包括 等 于 符号 “三 ”)， 它 有 一 组 命题 变 元 AP, 每 个 这 样 的 变 元 的 值 域 都 是 布 
尔 值 (TRUE，FALSE) 。 该 逻辑 的 语法 定义 是 ， 

form ::= prop | (form A form) | (form V form) | 
(form 一 form) |> form | true | false 

其 中 prop 是 变 元 集合 AP 的 命题 变 元 。 这 里 的 赋值 a 重新 定义 为 a : AP—{TRUE, FALSE}, 
即 AP 中 的 每 个 命题 变 元 都 被 映射 到 一 个 布尔 值 。 布尔 运算 符 的 语法 和 一 阶 逻辑 中 的 定义 相同 。 
命题 逻辑 中 没有 涉及 签名 或 结构 。 因 此 ， 当 M, (Q =TRUE 时 ， 我们 可 以 写成 ako, 3F1 a Wi 
是 %。 如 果 任 何 赋值 都 满足 命题 公式 ， 则 该 公式 是 重 言 式 ; 如 果 没 有 赋值 能 够 满足 某 命题 公式 ， 
则 该 公式 为 矛盾 式 。 很 容易 就 可 以 证 明 ， 公式 的 真 值 仅 依赖 于 对 公式 中 出 现 的 变 元 的 赋值 。 

举例 来 说 ， 令 P. Q 为 命题 变 元 。 公 式 忆 人 >” 己 就 是 一 个 简单 的 矛盾 式 ， 任 何 赋值 都 会 给 出 
FALSE 的 解释 。 XW, PVP 是 重 言 式 ， 它 在 每 个 赋值 之 下 都 解释 为 TRUE, A e= 
SPA (QV P) 既 不 是 重 言 式 ， 也 不 是 矛盾 式 。 在 赋值 a 二 {PH FALSE, QS TRUE) 下 ， 我 们 有 
op; 另 一 方面 ， 在 赋值 4* 一 {(PF TRUE, Q TRUE} +, RMA bKo. ER, 要么 akg, 
BAZ a= — e, 
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命题 逻辑 在 为 硬件 线路 做 规约 时 很 有 用 ， 因 为 数字 系统 常 基于 两 个 值 0 和 1， 它们 可 分 别 被 
映射 为 FALSE 和 TRUE， 运算 符 “A?“V” 和 “-” 则 分 别 与 电路 的 与 门 、 或 门 和 非 门 对 应 。 


3.5 证 明 一 阶 逻辑 公式 

给 定 一 个 逻辑 ， 我 们 可 能 想 要 证 明 公 式 g 对 于 每 个 赋值 和 ) 一 个 给 定 的 结构 S$ 成立， 即 S 
是 g 的 模型 。 在 某 些 情况 下 ， 我 们 可 能 想 要 证 明 yg 是 重 言 式 ， 即 对 于 每 个 结构 和 该 结构 上 的 每 个 
赋值 ， 9 都 成 立 。 

我 们 也 可 能 需要 证 明 一 个 公式 在 某 些 给 定 的 假设 下 成 立 。 形 式 化 地 说 ， 令 卫 是 一 阶 公式 的 
集合 ， 而 "是 一 阶 公 式 。 如 果 卫 中 所 有 的 公式 都 成 立时 p 也 成 立 ， 我 们 就 说 在 结构 S 下 由 了 可 推 
THA e, BRE, WT AA WIB a, MAMET WE 了，M.( 内 一 TRUE， 那 么 M, (pg) =TRUE, 
我 们 称 也 是 一 组 假设 而 ? 是 结论 ， 记 为 TH。 这 是 形式 化 定义 的 记 法 片 sp 的 一 般 化 ， 与 IT 一 他 
时 的 新 记 法 一 致 。 

当 卫 F"9 在 所 有 结构 S 下 都 成 立时 ， 我 们 说 由 卫 可 推导 得 到 p， 并 写作 TES. Bn, RINK 
要 证 明 (vi 宇 v2} 矿 f(v1) 圭 /(v2)。 根 据 定义 ， 假 设 和 结论 都 在 相同 的 赋值 下 解释 。 因此， 其 仿 
SOA vl 和 02 在 假设 和 结论 中 都 有 相同 的 值 。 

我 们 感 兴趣 的 是 证 明 ?Hg%。 证 明 的 过 程 必 须 只 包含 简单 的 步 又， 这 些 步骤 的 正确 性 应 当 很 


HE. (Ed DEP F e 可 证 明 (provable) 记 作 PPp。 回 顾 一 下 ，? 是 重 言 式 被 记 作 睛 p。 相 应 地 ， 


广 2 表 示 w 在 任何 结构 和 赋值 下 都 可 被 证 明成 立 。 

一 个 证 明 系 统 (proof system) 包括 一 组 公理 (axiom) 和 证 明 规 则 (proof rule) 。 每 个 公理 
都 是 公式 的 模板 (template); 模板 公式 可 能 包含 一 组 模板 变量 (template variable) MREFA 
式 。 公 理 的 实例 (instance) 通过 将 模板 变量 蔡 换 为 实际 的 子 公 式 (或 项 ) 得 到 。 举 例 来 说 ， 考 
虑 模板 公式 p(y>g) 。 它 包含 两 个 模板 变量 ， 9 和 少 。 这 些 变量 可 以 代表 子 公式 。 如 果 我 们 将 o 
BRA Piz) 并 将 y 替 换 为 QC(y)V Pl(y) GEP PRE 是 一 元 关系 符号 )， 我 们 得 到 POD 
CCR VPC 一 PCz))。( 注 意 在 公式 QC(y) V PCy) 中 省 略 的 最 外 层 的 括号 在 替换 中 恢复 了 ， 
这 人 么 做 是 为 了 得 到 一 个 良 结构 的 公式 。) 每 个 实例 化 的 公理 必 是 重 言 式 。 

一 个 证 明 规 则 包括 一 个 模板 公式 的 有 限 集合 和 另 一 个 模板 公式 ， 分 别称 为 前 提 Cpremise) 
和 结论 (consequent)。 我 们 通常 用 这 样 的 写法 表示 一 个 证 明 规则 将 前 提 写 在 一 条 横 线 上 面 ， 
而 将 结论 写 在 下 面 。 前 提 和 结论 往往 共享 一 些 模板 变量 。 我 们 可 以 在 证 明 中 凌 换 模板 变量 ， 但 是 
要 求 该 模板 变量 的 每 次 出 现 都 被 蔡 换 为 相同 的 子 公式 (或 项 )。 替 换 之 后 ， 我 们 从 前 提 得 到 一 组 
一 阶 公 式 PP， 并 从 结论 得 到 公式 9。 为 了 使 证 明 规则 有 效 ， 我 们 必须 有 gg。 公理 也 可 被 看 做 证 
明 规 则 的 特例 ， 其 结论 不 需要 前 提 即 成 立 。 

举例 来 说 ， 下面 的 证 明 规 则 中 

nete 
我 们 可 将 p 替换 为 已 Cz) 并 将 4 替换 为 Q(Cy) V P(y)， 得 到 下 面 的 实例 ， 


PCr), P) > (QO) V POD 
Q(>) V PCy) 


我 们 证 明了 {P(x)， PDR V PCY) HE Q(y) V PCy) 的 确 成 立 。 

我 们 接 下 来 展示 一 个 证 明 系 统 的 例子 ， 这 个 系统 假设 布尔 运算 符 只 包括 “>” 和 “-”。 这 
样 的 假设 就 足够 了 ， 因 为 不 难 发 现 运算 符 “A” 和 “V” WHE: 可 以 用 Opp Revy, 
FEH gmp BR pAg 

这 个 证 明 系 统 包 含 如 下 的 公理 ， 
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Axl e— (0 — gp 
Ax2 (p> (> p) — (p> p — (g — 7) 
Ax3 (Ogp—> gp > (Ce — a) — p) 
Ax4 (Vu(p— 2) > (g — Vu) vee 中 不 是 自由 的 
Ax5 (Vvug(v)) > ole) 
在 最 后 一 个 公理 中 ，e 是 一 个 代表 项 的 模板 变量 ， 用 来 替换 p 中 vv 的 所 有 自由 出 现 。 下 面 还 有 三 
个 公理 处 理 相 等 关系 ， 
Ax e= e 
Ax7 e = e, — fle, reisse) = fleste, s e) f € F 
Ax8 e, == e, — (r(@ "re," e,) — rle se s .e,)) r € R U (=) 
在 这 些 公理 之 外 ， 我 们 还 有 如 下 证 明 规 则 : 
MP 《肯定 前 件 (Modus Ponens) ) ， 


GEN (724 (Generalization)); 


sÉ 
Q 
6 


这 里 ， 要 求 "不 在 证 明 的 任何 假设 中 自由 出 现 。 
3.5.1 正 向 推理 


证 明 可 以 通过 正 向 推理 〈forward reasoning) 或 反 人 向 推理 (backward reasoning) 的 方法 进 
行 。 在 正 向 推理 中 ,证 明 r-o 由 一 系列 带 标号 的 公式 组 成 ， 并 由 公式 9 结束。 正 向 证 明 中 的 每 
一 行 必须 满足 如 下 情况 之 一 ， 
1. 该 行 包 含 了 从 假设 集合 下 取 出 的 一 个 假设 。 
2. 该 行 是 证 明 系 统 中 的 某 条 公理 的 实例 化 ， 通过 将 其 中 的 模板 变量 蔡 换 为 恰当 的 子 公 式 或 
项 而 得 到 。 
3. 按照 如 下 的 方法 ， 使 用 证 明 系 统 的 某 条 证 明 规则 根据 前 面 的 行 得 到 ， 在 将 证 明 规则 中 出 
现 的 模板 变量 实例 化 之 后 ， 所 有 的 前 提 都 是 证 明 中 前 面 的 某 些 行 。 此 次 实例 化 后 的 结论 成 为 新 
的 一 行 。 
我 们 通过 证 明 一 个 简单 的 属性 P(x) > P(r) 来 演示 证 明 系 统 。 
1 P(r) — ((P(2) — P(z)) — P(x)) Ax] 
2 (P(x) — ((P( x2) + PCr) — Plr))) > 
(CPx) 一 (P(x) — P(z))) — (P(x) > P(x2))) Ax2 


3 PCr) — (PCa) — P(z))) — (P(x) — P(z)) MP 1,2 
4 P(x) > (P(x) > PCx)) Ax! 
5 PCr) > P(x) MP 3,4 


第 1 行 由 公理 Ax1 得 到 ， 其 中 的 p 被 实例 化 为 PCz) A 由 被 实例 化 为 P(xz)->P(zx)。 第 2 行 
由 公理 Ax2 得 到 ， 其 中 的 和 7 都 被 实例 化 为 PCz)， 且 yy 被 实例 化 为 P(x)~>P(zx)。 第 3 行 应 用 
证 明 规 则 MP 得 到 ， 其 中 的 o 被 实例 化 为 P(r)->((PCz)->P(z))_>P(zy)， E yy 被 实例 化 为 
(PCa) (P(2)>P(2))) > (P(x) >P(2)), BRIX NAL, MP 的 第 一 个 前 提 e 对 应 证 明 的 第 
1 行 ， 而 第 二 个 前 提 9->% 对 应 第 2 行 。 第 3 行 对 应 相同 实例 化 下 MP 的 结论 。 这样， 第 3 行 成 立 
的 理由 是 MP 的 应 用 以 及 前 面 的 第 1 行 和 第 2 行 。 第 4 行 再 次 由 公理 Ax1 经 实例 化 p 和 作为 已 z 
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得 到 。 最 后 ， 第 5 行将 MP 中 的 op 实例 化 为 PC(z) 一 (P(z)->P(x))、 将 yy 实 例 化 为 P(r) 一 P(x)。 
ROR, MP 的 前 提 o 和 gp 一 y 分 别 对 应 第 4 行 和 第 3 行 ， 而 第 5 行 则 对 应 结论 。 


3.5.2 反 向 推理 


在 反 向 推理 中 ， 我 们 倒 着 “ 读 ” 每 个 证 明 规则 : 它 描 述 了 如 何 将 对 结论 的 证 明 任务 归 约 为 对 
其 前 提 的 证 明 任务 。 直 观 地 讲 ， 我 们 想 要 从 需要 证 明 的 目标 开始 ， 然 后 通过 使 用 较 简 单 的 子 目 标 
来 证 明 这 个 目标 。 为 了 演示 这 一 点 ， 考 虑 下 面 的 简单 的 证 明 规 则 CONJ: 

mar 

pAy 
这 个 规则 是 说 ， 为 了 证 明 pA yy， 我 们 可 以 分 别 证 明 2 和光。 在 正 向 证 明 推理 中 ， 我 们 这 样 使 用 这 
条 规则 : 首先 证 明 pg 和 yy， 接 下 来 应 用 CONJ 以 得 到 pAy。 在 反 向 推理 中 ， 我 们 和 通过 创建 两 个 新 
的 子 目 标 o 和 来 证 明 目 标 gp 人 y。 然 后 我 们 尝试 分 别 验证 这 些 子 目标 。 当 我 们 证 明了 子 目标 ç 
或 %， 就 可 以 将 它们 从 待 证 的 子 目 标的 列表 中 消除 〈discharge) 。 当 这 两 个 子 目 标 p 和 y 都 被 消除 
了 之 后 ， 目 标 p 人 少 就 被 证 明了 ， 并 同样 可 被 消除 。 i 

一 般 来 说 ， 在 反 向 推理 中 使 用 一 个 证 明 规则 时 ， 每 个 前 提 都 对 应 一 个 子 目 标 。 这 些 子 目标 用 
于 证 明 对 应 于 规则 的 结论 的 目标 。 当 所 有 的 子 目标 都 被 消除 时 ， 这 个 目标 本 身 也 就 消除 了 。 如 果 
某 个 子 目标 是 一 个 公理 的 实例 ,那么 它 可 以 被 立即 消除 。 

反 向 推理 策略 往往 比 正 向 推理 更 直观 ， 也 更 易于 为 进行 验证 的 人 们 使 用 。 对 于 那些 将 目标 
变 成 较 短 的 子 自 标的 证 明 规 则 ， 例 如 CONJ， 尤 其 如 此 。 前 面 给 出 的 规则 MP 在 反 向 推理 中 比 
CONJ 要 难 用 得 多 : ATHY 我们 需要 找到 某 个 公式 p 并 间 时 证 明 g 和 gg 一 Jy。 我 们 将 在 3.8 
节 和 3.9 节 看 到 反 向 推理 的 例子 。 

有 了 时， 动态 地 改变 证 明 中 用 到 的 假设 列表 将 带 来 方便 。 考虑 演 绿 定 理 〈deduction theorem) 
的 例子 ， 这 个 定理 为 ， 

TEFp>y iff TU {py 
我 们 可 以 按照 如 下 方法 利用 这 条 定理 : 为 了 证 明 rkE-z>=2, RINE p 作为 男 一 个 假设 加 入 已 有 的 
假设 集合 中 ， 然 后 证 明 PU{g}F¢. 

如 果 我 们 把 公理 和 证 明 规 则 写成 这 样 的 形式 ， 其 中 的 前 提 和 绪论 都 形 如 r-o, #ĦrU to) 
是 模板 公式 ， 我 们 就 可 以 把 这 种 灵活 性 引入 到 我 们 的 证 明 系 统 中 。 例 如 ， 表示 演绎 定理 的 证 明 规 
则 可 记 为 ; 


TU {gk 2 
Tre 一 由 


使 用 这 个 格式 ， 我 们 可 以 将 证 明 规 则 CONJ 重 写 为 ， 


Tre Tri 
rg Ag 


这 个 规则 说 明 (对 应 于 结论 的 ) 目标 和 《对 应 于 前 提 的 》 子 目 标的 假设 集合 没有 被 改变 。 
练习 3.5.1 用 反 向 推理 证 明 P(z=)—P(zx)., 


3.6 证 明 系 统 的 属性 


本 节 我 们 讨论 关于 形式 化 数学 证 明 的 一 些 基本 问题 ， 并 将 特别 关注 一 阶 逻 辑 的 可 证 明 性 的 
问题 。 为 说 明 这 些 讨论 的 动机 ， 我 们 考虑 著名 的 费 马 猜想 (Fermat’s conjecture) ; 
RA HA RH, nm, Fy 使 得 对 于 z>2, 有 Zm =n. 


第 3 章 温 辑 和 定理 证 明 ， 27 


这 个 猜想 在 提出 后 的 350 年 中 一 直 都 是 巧 而 未 决 的 ， 并 在 最 近 才 得 以 证 明 [130]。 现 在 ， 考 虑 下 
面 的 计划 :， 我 们 首先 定义 一 阶 签 名 和 结构 ， 使 其 包含 自然 数 ， 以 及 费 马 猜 想 中 用 到 的 恰当 的 关系 
和 函数 。 然 后 我 们 将 费 马 猜想 写成 如 下 的 公式 ， 
TD 3z>-313m3n(z > 2 A F + m* =: n" 

我 们 期 望 定义 一 个 证 明 系 统 以 证 明 该 猜想 。 进 而 ， 我 们 期 望 找到 一 个 算法 以 自动 寻找 这 样 的 证 
明 。 而 费 马 定理 长 时 间 悬 而 未 决 ， 即 使 是 在 快速 的 计算 机 问世 之 后 依然 如 此 ， 说 明 上 面 给 出 的 计 
划 有 问题 。 

这 里 ， 我 们 对 系统 的 一 些 重要 的 属性 进行 形式 化 并 加 以 证 明 。 这 些 属性 体现 了 如 下 与 形式 
化 数学 证 明 能 力 有 关 的 本 质问 题 。 例 如 : 

° 证 明 “ 正 确 ” 吗 ? 

。 能 否 用 给 定 的 证 明 系 统 证 明 某 个 结构 的 所 有 事实 ? 

。 是 否 存在 一 个 算法 能 够 判定 给 定 的 公式 p 是 重 言 式 ， 或 者 可 由 下 推 导 得 到 ? SERE o 

的 模型 ? 


3.6.1 正确 性 


证 明 系 统 的 正确 性 〈soundness) 的 含义 是 : 该 系统 只 能 被 用 来 证 明正 确 的 事实 。 也 就 是 说 ， 
如 果 工 p， 那 么 一 定 有 =p。 一 阶 逻辑 有 很 多 不 同 的 正确 的 证 明 系 统 。 然 而 仍然 需要 小 心间 
慎 ， 因 为 在 将 公理 或 证 明 规则 形式 化 时 可 能 也 时 常会 发 生 错误 。 

例如 ， 考 虑 3. 5 节 给 出 的 证 明 系 统 。 假 设 我 们 忘记 给 出 证 明 规 则 GEN 上 的 约束 ， 即 全 称 量 
词 不 能 作用 于 在 给 定 前 提 中 出 现 的 自由 变 元 上 。 那 么 ， 给 定 前 提 v1 三 v2， 我 们 可 得 到 fu) = 
FCv2) 应 用 Ax7 和 MP) 。 没 有 了 对 规则 GEN 的 限制 ， 我 们 可 以 应 用 GEN Pk, GEV ul V v2 
CfOo) = f(v2)) 。 也 就 是 说 ， 我 们 不 正确 地 “证 明 ” 了 如 下 结论 , 如 果 〈 对 于 某 个 给 定 的 赋值 a) 
o=, PARA 了 对 任何 参数 都 会 给 出 常量 。 注 意 ， 在 结论 中 受 约束 的 吕 A v2 和 在 前 提 中 自 
由 出 现 的 她 和 吕 没 有 任何 关系 。 很 明显 ,没有 上 述 约束 ， 这 个 证 明 系 统 就 是 不 正确 的 。 


3.6.2 完备 性 


证 明 系 统 的 完备 性 〈completeness) 的 含义 是 : 如 果 PF:p， 那 么 一 定 有 Tho. BA 
(Godel 证 明了 一 阶 逻 辑 是 完备 的 。 很 多 一 阶 逻 辑 上 的 证 明 系 统 是 完备 的 ， 允 许 人 们 证 明 任何 形 
MTE 的 正确 断言 。 在 3. 5 节 我 们 展示 了 一 个 完备 的 证 明 系 统 。 证 明 一 个 证 明 系 统 的 完备 性 不 
是 一 件 容 易 的 事情 ， 可 参见 其 他 文献 ， 例 如 [38]. 

注意 完备 性 指 的 是 任何 对 于 所 有 可 能 的 一 阶 结构 都 成 立 〈 即 解释 为 TRUE) 的 断言 ， 都 可 得 
到 证 明 。 然 而 ， 这 并 不 意味 着 我 们 能 够 证 明 一 个 特定 结构 〈 例 如 我 们 下 面 要 讨论 的 、 带 加 法 和 飞 
法 的 整数 结构 ) 上 的 所 有 正确 的 属性 。 


3.6.3 可 判定 性 


一 阶 逻 辑 是 半 可 判定 的 〈semi-decidable) 。 也 就 是 说 ， 没 有 算法 能 够 检验 THFp 是 否 成 立 。 
然而 存在 这 样 的 一 个 算法 ， 当 了 FF 成 立时 ， 能 够 构造 出 Pio 的 证 明 。 BE, MRK, Xt 
算法 甚至 不 能 保证 会 终止 。 只 要 我 们 能 按照 需要 不 断 扩 充 存储 容量 ， 就 可 以 构造 得 到 to 的 一 
个 证 明 。 (在 图 灵机 的 理论 模型 中 ， 这 不 是 问题 ， 见 2. 4 节 。 但 在 实际 的 机 器 上 ， 存储 是 有 限 的 ， 
我 们 可 能 会 耗 尽 存储 。.) 正如 在 2.4 节 中 解释 的 ， 用 于 解决 半 可 判定 问题 的 算法 的 复杂 度 没 有 
上 界 。 
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3.6.4 结构 完备 性 


给 定 结构 S， 我 们 期 望 能 够 通过 算法 给 出 公式 的 集合 rs， 使 得 PsF p 当 且 仅 当 瞩 *p。 将 Ts 作 
为 我 们 的 完整 证 明 系 统 的 附加 公理 之 后 ， 这 个 证 明 系 统 就 能 够 证 明 在 结构 S 上 成 立 的 任何 属性 。 

对 于 一 些 一 阶 结构 [38]， 我 们 可 以 获得 结构 完备 性 。 例子 之 一 就 是 包括 带 有 加 法 和 比较 关 
系 的 、 但 不 含 乘法 的 整数 结构 。 这 个 结构 被 称 为 布 利 斯 博 格 算术 (Presburger Arithmetic) 。 对 于 
这 个 结构 ， 我 们 可 以 判定 哪些 属性 成 立 、 娜 些 属 性 不 成 立 。 布 利 斯 博 格 算术 上 ， 已 知 的 最 好 的 判 


定 过 程 的 复杂 度 是 三 阶 指数 级 的 ， 即 其 执行 的 时 间 复 杂 度 是 O(2” ”) ， 其 中 交 是 公式 的 长 度 。 这 
个 问题 的 已 知 下 界 只 有 二 阶 指数 级 ， 即 (2*””) ， 但 是 还 没有 这 个 复杂 度 的 已 知 算法 。 这 样 就 存 
在 一 个 未 解决 的 复杂 度 差 距 ， 并 有 待 更 多 的 研究 【107]。 

对 于 其 他 一 些 结构 来 说 ， 就 可 能 不 存在 完备 的 公理 化 方法 。 这 包括 带 加 法 和 乘法 的 自然 数 
。 另 一 个 这 样 的 结构 是 带 有 加 法 和 乘 
法 的 整数 。 事 实 上 ， 根据 哥 德 尔 的 著名 结果 ， 这 个 情况 并 不 是 巧合 ， 也 不 是 没有 投入 足够 的 资源 
来 寻找 结构 完备 的 公理 系统 : 可 以 证 明 不 存在 这 样 的 公理 系统 ! 这 样 ， 我 们 就 不 用 期 望 能 够 证 
明 ， 或 判定 ， 甚 至 枚 举 所 有 在 这 些 结构 上 成 立 的 一 阶 公式 了 。 

即使 我 们 知道 了 哥 德 尔 不 完备 性 定理 ， 对 于 自然 数 或 整数 的 〈 不 完备 的 ) 一 阶 逻 辑 证 明 系统 
来 说 仍然 很 有 用 。 有 一 些 在 自然 数 域 上 成 立 的 有 用 的 公理 集合 ， 这 些 公理 可 用 来 证 明 很 多 重要 
的 属性 。 BE, RE. 自然 数 〈 整 数 也 是 这 样 》 上 的 大 多 数 重要 属性 ， 可 用 一 阶 证 明 系 统 
证 明 。 

人 们 常常 需要 在 逻辑 的 表达 能 力 与 一 些 属性 (如 存在 完备 的 证 明 系 统 或 可 判定 性 ) 之 间作 
出 权衡 。 例 如 ， 二 阶 钦 辑 比 一 阶 罗 辑 有 更 强 的 表达 能 力 ， 它 可 以 表示 图 上 两 点 之 间 存在 一 条 路 径 
这 样 的 属性 ; 然而， 二 阶 逻 辑 没有 完备 的 证 明 系 统 ; 不仅 如 此 ， 二 阶 逻 辑 甚至 不 是 半 可 判定 的 
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命题 逻辑 是 可 判定 的 。 检 查 是 否 存 在 赋值 以 满足 一 个 给 定 命题 逻辑 公式 的 问题 ， 被 称 为 可 
满足 性 问题 (satisfiability problem) 。 该 问题 的 复杂 度 是 NP -完备 的 [51] (参见 第 2 章 ) 。 这 说 
明 ， 最 好 的 已 知 算法 的 运行 时 间 ， 在 最 坏 的 情况 下 ， 是 公式 规模 的 指数 量 级 ， 可 以 用 一 个 极其 简 
单 的 算法 来 检查 一 个 命题 逻辑 公式 是 否 对 于 公式 中 出 现 的 全 部 命题 变 元 的 所 有 真 值 成立 ， 因为 
一 个 公式 中 只 有 有 限 多 个 变 元 ， 所 以 这 个 算法 一 定 是 可 终止 的 。 EXE, 如 果 有 个 变 元 ， 检 查 
所 有 2" 个 布尔 赋值 组 合 需要 指数 时 间 。 

请 注意 ， 一 个 命题 公式 p 是 重 言 式 当 且 仅 当 -ep 不 可 满足 (也 就 是 没有 赋值 能 够 使 得 -g 计算 
X TRUE). 这样 ， 要 说 明 p 不 是 重 言 式 ， 只 需要 找到 一 一 个 满足 "9p 的 赋值 就 足够 了 。 已 经 有 一 些 
有 效 的 启发 式 方法 用 于 检查 可 满足 性 ， 例 如 ，SATO [151], GRASP [129] 和 Stalmark 方法 
[136], 

AY LA Sa th — 815456 4 BU BE BR EO uE BJ ñr Bi 29 3: 00 S Pr =Ë , 一 个 例子 就 是 希 尔 伯 特 系统 
(Hilbert’s system)， 它 包括 了 3.5 节 的 公理 Ax1— Ax3 和 证 明 规则 MP, 这 些 公理 和 证 明 规 则 中 

现 的 变量 可 由 任意 命题 公式 蔡 代 。 我 们 假设 所 有 命题 公式 都 首先 经 过 转换 ， 使 之 仅 包 含 否定 
C MAA (C) 运算 符 。 然 而 ， 因 为 存在 适当 的 检验 算法 ， 在 手工 或 计算 机 辅助 证 明 中 很 少 
会 直接 使 用 命题 逻辑 的 证 明 规 则 。 
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3.8 一 个 实用 的 证 明 系 统 

我 们 现在 介绍 一 个 用 于 一 阶 逻辑 的 简单 证 明 系 统 ， 这 个 系统 和 PVS 系统 [109] 类 似 。 一 个 

相继 式 〈sequent) 是 如 下 形式 的 公式 : | 

Co A ge Nt A @) — (A V be V =: V dnd 
一 个 相继 式 的 每 个 子 公 式 p 都 是 该 相继 式 的 前 件 〈antecedent) ， 每 个 子 公式 y 都 是 该 相继 式 的 
后 继 〈succedent) 。 公 式 PP Pa 和 i， ts Pn 不 限定 于 任何 一 个 特定 形式 。 因为 我 们 总 是 可 
US ”一 0 而 和 一 1， 所 以 每 个 一 阶 公式 实际 上 都 是 这 种 形式 。 我 们 现在 展示 一 个 利用 了 相继 式 形 
式 的 证 明 系 统 。 

我 们 将 公式 竖 着 写 ， 其 中 在 横 线 之 上 是 前 件 ， 每 行 写 一 个 ， 并 用 负数 〈 一 1、 一 2 等 ) 编号 ; 

后 继 写 在 横 线 下 方 ， 用 正 数 (1、2 等 ) 编号 。 
. -1 a 
-n ç, 
l yw 
2 dh 
m Pm 
在 一 个 证 明 中 ， 为 了 方便 起 见 ， 我 们 将 证 明 过 程 中 最 近 修 改 的 几 行 标记 为 “x* ”。 

开始 时 ， 证 明 有 上 广 少 是 一 个 没有 前 担 ， 只 有 一 个 后 继 的 相继 式 ， 这 个 相继 式 称 为 初始 目 
标 。 这 个 目标 现在 正 等 竺 证明。 这样 ， 待 证 目标 列表 一 开始 仅 包含 %。 我 们 可 以 用 一 条 公理 将 一 
个 目标 从 待 证 目标 列表 中 消除 ， 或 用 一 条 证 明 规 则 来 将 其 归 约 为 一 些 更 简单 的 子 目 标 ， 这 些 子 
目标 又 被 加 入 待 证 目标 的 列表 。 如 果 我 们 能 够 将 前 面 的 某 个 目标 产生 的 所 有 竺 证 子 目标 全 部 消 
除 ， 那 么 这 个 目标 本 身 也 就 可 以 消除 了 。 因 此 ， 我 们 的 目标 就 是 不 断 重复 这 个 过 程 ， 直 到 可 以 消 
除 初 始 目标 。 

在 2. 3 节 描 述 的 树 可 用 来 描述 当前 的 证 明 状 态 。 一 棵 证 明 树 的 根 是 初始 目标 y。 树 中 任何 节 
点 的 直接 后 继 ， 都 是 在 该 节点 对 应 的 目标 上 应 用 某 个 证 明 规 则 而 产生 的 子 目标 。 这 棵 树 的 某 个 
叶子 节点 是 当前 目标 。 在 证 明 的 过 程 中 ， 我 们 可 能 会 找到 一 个 证 明 规则 ， 将 这 个 目标 归 约 为 一 些 
子 目标 。 这 些 新 的 子 目 标 将 作为 当前 目标 的 直接 后 继 加 入 树 中 ， 使 得 树 逐 步 增长 。 我 们 也 可 能 通 
过 使 用 恰当 的 公理 来 消除 当前 目标 。 消除 一 个 节点 的 所 有 后 继 〈 即 子 目标 ) 之 后 就 可 以 消除 该 节 
点 本 身 。 证 明 过 程 可 看 做 是 一 系列 树 之 间 的 变形 (tree transformation， 参 见 图 3.1) 。 我 们 的 目 
标 即 完全 缩减 这 棵 树 ， 最 终 得 到 一 棵 空 树 〈 即 没有 节点 的 树 )。 我 们 将 在 3. 9 节 看 到 使 用 树 变形 
的 证 明示 例 。 

这 里 将 给 出 的 证 明 规 则 都 来 自 PVS 系统 。PVS 系统 基于 一 种 比 一 阶 软 辑 更 通用 的 逻辑 这 
种 高 阶 逻 辑 以 类 型 论 (type theory)[27] 为 基础 ， 这 里 我 们 不 再 对 其 进一步 讨论 ， 我 们 只 讨论 这 
个 证 明 系 统 中 能 够 处 理 一 阶 逻 辑 的 证 明 规 则 子 集 。 这 里 ， 我 们 不 直接 展示 证 明 规则 本 身 ， 而 是 给 
出 PVS 命令 ， 这 些 命令 能 控制 它 的 机 械 化 定理 证 明 器 。 每 个 命令 都 是 基于 一 个 简单 证 明 规 则 或 
者 一 条 公理 的 。 《一 个 有 趣 并 且 不 太 难 的 练习 就 是 写 出 每 个 命令 对 应 的 证 明 规 则 .) 

消去 (eliminate) 如 果 下 面 的 条 件 之 一 满足 ， 则 去 除 当前 的 目标 ， 即 如 下 形式 的 相继 式 
Co Ae A gpg)O> VV dads 

。 前 件 Pis ”网 中 的 某 个 公式 为 false, 
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° 后 继 ho os dp 中 的 某 个 公式 为 irue。 
` 某 个 前 件 和 其 中 一 个 后 继 相同 ， 即 对 于 某 个 1<i<n 以 及 1<j<<m, 我 人 有 p=. 
。 其 中 一 个 后 继 形 如 e=e， 其 中 e 是 一 个 项 。 
消去 命令 对 应 于 应 用 一 条 公理 〈 因 为 它 去 除了 一 个 目标 ) 。 事 实 上 ， 在 PVS 系统 中 ， 每 当 构 
造 出 一 个 新 目标 时 ， 这 个 命令 就 会 被 自动 应 用 。 
扁平 化 《〈flatten) ”基于 相继 式 的 特殊 形式 ， 通 过 简化 当前 的 目标 构造 得 到 一 个 直接 子 目标 。 
这 个 命令 试图 通过 如 下 所 示 的 一 条 或 多 条 化 简 方 法 ， 产 生 一 个 带 有 较 短 子 公式 的 相继 式 ， 
。 和 否定 去 除 。 去 除 和 否定 的 一 个 方法 是 将 一 个 形 如 ” 少 的 前 件 替 换 为 形 如 少 的 后 继 。 这 个 方法 
基于 (pA Py Mor GV p 逻辑 等 价 的 事实 。 另 一 种 方法 是 ， 将 形 如 -=y 的 后 继 替 
换 为 形 如 y 的 前 件 。 这 个 方法 基于 gmyVnD 和 (gp 人 办 一 py 逻辑 等 价 的 事实 。 
。 将 一 个 形 如 p A ps 的 前 件 准 换 为 形 如 p 和 o 的 两 个 前 件 ， 以 拆 开 合 取 式 。 
° 将 一 个 形 如 a V o, 的 后 继 替 换 为 形 如 和 o, 的 两 个 后 继 ， 以 拆 开 析 取 式 。 
° 将 一 个 形 如 pp 的 后 继 替 换 为 一 个 前 件 m 和 一 个 后 继 p,。。 这 一 方法 是 基于 pp 和 
Ce) V p 是 相同 的 事实 。 这 个 过 程 是 上 面 两 个 步 又 的 组 合 ; 拆 开 析 取 与 否定 去 除 。 
扁平 化 命令 指定 了 需要 进行 扁平 化 操作 的 当前 目标 的 行 号 。 和 其 他 命令 相似 ， 如 果 扁 平 化 
失败 ， 即 指定 的 行 不 是 上 述 情况 之 一 ， 那 么 当前 目标 保持 不 变 。 i 
拆 分 (split) 根据 如 下 几 种 情况 之 一 ， 拆 分 子 目 标 ， 
° 如 果 当 前 目标 s AEAU p Ve VeV o 的 前 件 ， 则 这 个 规则 可 以 产生 1 个 子 目标 ， 其 
中 第 i 个 新 的 子 目 标 是 将 当前 目标 中 上 述 前 件 兰 换 为 o, 而 得 到 的 。 
° 如 果 当 前 目标 s 含有 形 如 p; 人 ps。 A. Ap 的 后 继 ， 则 这 个 规则 可 产生 IRE AR, Hp 
第 i 个 新 的 子 目标 是 将 当前 目标 中 的 上 述 后 继 替 换 为 o: 而 得 到 的 。 
拆 分 命令 指定 了 需要 进行 拆 分 操作 的 当前 目标 的 行 号 。 
假设 (assumption) 选择 一 个 子 目标 ， 并 将 本 中 的 某 个 公式 作为 一 个 新 的 前 件 加 入 ， 产 生 
一 个 直接 子 目 标 。 假 设 命 令 指 定 了 在 六 中 加 和 的 公式 的 和 名字 。 
斯 科 伦 化 〈Skolemize) ”删除 后 继 的 外 层 全 称 量 词 ， 或 前 件 的 外 层 存在 量词 。 有 如 下 两 种 
可 能 : 
° 存在 一 个 形 如 VY vy 的 后 继 。 斯 科 伦 化 用 gLc/v] 替换 该 后 继 ， 产生 一 个 新 的 子 目标 。 其 
中 c 是 一 个 新 的 常量 ， 且 没有 在 之 前 的 证 明 中 出 现 。 使 用 这 个 规则 的 理由 如 下 ， 如 果 新 
的 子 目标 得 以 证 明 ， 因 为 c 的 选择 不 失 一 般 性 (因为 在 选择 该 常量 的 时 候 它 未 被 使 用 过 
并 且 没 有 任何 特别 的 约束 ， 所 以 在 其 上 没有 任何 限制 )， 所 以 我 们 可 以 推断 带 有 全 称 量词 
的 原 有 子 目标 成 立 。 
存在 一 个 形 如 A vp 的 前 件 。 斯 科 伦 化 用 gl c/o] RTE, 产生 一 个 新 的 子 目 标 。 其 
中 < 是 一 个 新 的 常量 ， 且 没有 在 之 前 的 证 明 中 出 现 ， 如 果 新 的 子 自 标 得 以 证 明 ， 我 们 可 
以 说 除了 要 求 c 满足 g 之 外 没有 对 其 做 任何 限制 。 这 样 (不 失 一 般 性 )， 满 足 o MAME 
“在 性 可 以 证 明 这 个 蕴含 式 ， 得 到 带 有 存在 量词 的 原 有 子 目 标 。 
增 科 伦 化 命令 指定 了 需要 执行 斯 科 伦 化 的 行 以 及 常量 名 c. 
#\ 4k, Cinstantiate) 从 菜 种 意义 上 说 ， 实 例 化 是 斯 科 伦 化 的 补 ， 因 为 它 人 允许 去 除 一 个 前 件 
中 的 最 外 层 全 称 量 词 ， 或 一 个 后 继 中 的 最 外 层 存 在 量词 ， 它 也 有 以 下 两 种 情况 ， 
”存在 一 个 形 如 VY vgp 的 前 件 。 那 么 我 们 可 以 任 取 一 个 项 e, 并 通过 将 该 前 件 替换 为 p[e/w] 
产生 一 个 新 的 子 任务 。 如 果 我 们 之 后 能 够 证 明 当 我 们 要 求 p EREN LRH, we 
式 成 立 ， 那 么 很 明显 ， 当 我 们 要 求 9 在 论 域 中 所 有 值 上 都 成 立时 ， 该 蕴含 式 成 立 。 
° 存在 一 个 形 如 vy 的 后 继 。 那 么 我 们 可 以 任 取 一 个 项 e, 通过 将 该 后 继 蔡 换 为 g[e/v] 产 
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生 一 个 新 的 子 任务 。 使 用 这 个 规则 的 理由 是 ; 如 果 蕴 含 式 在 y 满 足 项 e 的 特定 值 时 成 立 ， 
那么 我 们 知道 ， 存 在 一 个 值 使 得 V 成 立 。 也 就 是 说 我 们 用 项 e 作为 〈 当 其 前 件 成 立时 ) y 
成 立 的 证 据 。 
注意 ， 在 上 面 的 两 种 情况 中 ， 当 我 们 将 一 个 自由 变 元 替换 为 一 个 表达 式 的 时 候 ， 替 换 的 定义 
R 3. 3 W) 不 允许 该 表达 式 包含 了 在 替换 处 受 限 的 变 元 。 实 例 化 命令 带 有 需要 执行 该 命令 的 行 
以 及 项 e。 注 意 斯 科 伦 化 不 如 实例 化 自由 ， 它 仅 允 许 用 新 的 变 元 进行 替换 。 
## (substitution) 给 定 一 个 形 如 e =e, 的 前 件 ， 我 们 可 以 产生 一 个 新 的 子 目 标 ， 在 前 件 或 者 
BET, He Phe, tite 替换 为 e: 。 这 个 命令 表明 等 于 符号 “二 ”的 语义 就 是 通常 的 等 价 。 
替换 命令 指定 了 获得 a ==, 的 行 ， 需 要 应 用 替换 命令 的 行 ， 以 及 需要 将 ea 替换 为 a 还 是 反 过 来 。 
证 明 系 统 选择 证 明 树 上 的 某 个 叶 节 点 作为 当前 目标 。 我 们 可 以 通过 命令 推迟 (postpone》 改 
变 这 个 选择 ， 该 命令 循环 地 在 当前 叶 节 点 集合 中 进行 遍历 。 其 效果 是 选择 一 个 新 的 叶 节 点 作为 
当前 目标 〈 如 果 当 前 树 有 多 个 叶 节 点 的 话 ) ， 将 证 明 当 前 叶 节 点 的 过 程 推迟 到 稍 后 的 证 明 中 。 


3.9 证 明示 例 
在 第 一 个 例子 中 ， 我 们 证 明 下 面 的 命题 逻辑 重 言 式 : 
((A+C) A (B— O) — CAV B) > O 
这 样 ， 我 们 的 初始 目标 〈 编 号 为 1) 如 下 : 
1 (A+O) A (B> O) — (A V BY > O 
初始 证 明 树 ， 即 图 3.1 中 左上 方 的 树 1， 包 含 这 个 唯一 的 节点 。 注 意 初 始 目标 的 后 继 形 如 
poy EF p= (A—C) A(B>C) 并 且 %(C(AVB) 一 C)。 因 此 ， 对 行 1 应 用 扁平 化 ， 我 们 得 到 
初始 目标 的 子 目标 如 下 ， 





x 一 1 (A+O A (B— O) 
* 1 (AV B)+C 
当前 的 证 明 树 ， 即 图 3. 1 中 的 树 2， 包 含 子 目 标 节点 2， 这 个 节点 是 树 的 唯一 叶 节 点 ， 并 且 
是 编号 为 1 的 初始 目标 的 直接 后 继 。 
在 行 一 1 上 应 用 扁平 化 ,我们 得 到 如 下 的 子 目 标 ， 编 号 为 3。 
* —1 A—C 
x 一 2 B+C 
1 (CA V B) — O) 


树 1 树 4 BS 树 6 树 7 树 8 
OO © D © © 

Ò Ò © Ò Ò 
" ® Ò ° © Ó 
D Ò @ A A Å 


DD QO 的 A 
CID E12) G21) 622) 


图 3.1 证 明 树 
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当前 的 证 明 树 ， 即 树 3， 包 含 一 个 带 有 3 个 节点 的 路 径 ， 其 中 的 新 时 节点 是 当前 子 目 标 。 在 
行 1 上 应 用 扁平 化 ， 我 们 获得 如 下 的 子 目 标 ， 编 号 为 4。 
一 1 A—C 
一 2 B+C 
» 一 3 AVB 
x 1 C 
这 样 做 向 证 明 树 中 加 入 了 新 的 叶 节 点 ， 得 到 树 4。 我 们 不 能 再 继续 用 扁平 化 来 简化 节点 4 中 
新 的 当前 目标 了 。 但 是 我 们 能 在 行 一 3 上 应 用 拆 分 ， 获 得 下 面 两 个 子 目 标 ， 


一 1] A—C —1 A>C 
一 2 B+C 一 2 B—C 
x 一 3 A x 一 3 B 
1 C 1 C 


这 两 个 子 目标 是 节点 4 的 直接 后 继 ， 在 新 的 证 明 树 即 树 5 上 标记 为 5. 1 和 5. 2。 我 们 需要 分 
开 考 虑 这 两 个 子 目 标 。 我 们 首先 把 左边 的 子 目 标 ， 即 节点 5. 1， 作 为 新 的 当前 目标 。 我 们 根据 行 
LRA. WER, A>CA (4)VC 轴 辑 等 价 ， 因 此 拆 分 的 结果 或 是 把 A 的 否定 形式 加 为 新 
的 后 继 ， 或 是 将 C 加 为 新 的 前 件 。 这 样 得 到 的 两 个 子 目标 是 ， 


—1 B+C x —1 C 
一 2 A 一 2 B>+C 

1 C —3 A 
* 2A IC 


在 新 的 证 明 树 即 树 6 上， 节点 5.1 的 这 些 子 目标 被 编号 为 6. 1. 1 和 6.1.2。 注 意 我 们 暂时 没有 考 
虑 叶 节点 5.2。 我 们 后 面 必须 处 理 这 个 节点 ， 以 完成 证 明 。 在 6.1.1 和 6.1.2 两 个 节点 中 ， 都 有 一 个 
子 公式 既是 前 件 又 是 后 继 。 这 样 ， 这 些 节点 可 以 遂 过 消去 命令 以 菜 种 (任意 的 ) 顺序 被 消除 。 这 两 个 
命令 使 得 6.1.1 和 6.1.2 两 个 节点 的 共同 父 节点 5. 1 的 子 目标 被 消除 。 消 除 后 得 到 证 明 树 ?7。 这 样 ， 从 
树 6 到 树 7 的 转换 包含 了 三 步 ，(1) 消除 节点 6. 1; (2) 消除 节点 6.2; (3) 消除 节点 5. 1。 

新 的 证 明 树 即 树 7 的 唯一 叶 节 点 是 节点 5.2。 因 此 ， 它 成 为 当前 目标 。 回 顾 一 下 ， 这 个 节点 
包含 如 下 的 相继 式 ， 


一 1 A>+C 
一 2 B—C 
< 一 3 B 
1 C 
我 们 现在 可 以 根据 行 一 2 通过 拆 分 处 理 这 个 新 的 当前 目标 。 我 们 得 到 下 面 两 个 子 目标 ， 
一 1 A>C 一 1] A+C 
x 一 2 C 一 2 B 
一 3 A IC 
1 C 关 2 B 


这 两 个 子 目标 ，6. 2. 1 和 6. 2. 2， 是 树 8 的 新 的 时 节点 。 因 为 它们 分 别 包含 相同 的 前 件 和 
后 继 ， 所 以 这 两 个 节点 仍然 可 以 通过 消去 命令 被 消除 。 现 在 ， 消 除 过 程 可 以 一 直 扩展 到 证 明 树 
的 根 节点 : 当 其 前 驱 6. 2. 1 和 6. 2. 2 被 消除 之 后 ， 节 点 5. 1 被 消除 。 出 于 同样 的 原因 ， 节 点 4 
被 消除 ， 接 着 按照 创建 它们 的 相反 顺序 ， 节 点 3、 2 和 1 依次 被 消除 。 当 根 节点 消除 后 ， 证 明 
完成 。 

练习 3. 9. 1 WEH: 

° (AA(™A))—B, 

” 给 定 前 提 A 一 B 和 B->C， 我 们 可 以 得 到 A 一 C. 


举 另 一 个 更 为 复杂 的 例子 ， 我 们 将 证 明 群 论 的 一 个 简 
逻辑 。 证 明 将 展示 实例 化 和 斯 科 伦 化 的 运用 。 群 论 的 签名 
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单 的 属性 。 这 次 ， 证 明 过 程 将 使 用 一 阶 
BARRIERS “x” GEA FER 


或 整数 乘法 的 相同 数学 符号 的 另 一 个 重 载 ) ， 以 及 单位 元 unii。 一 个 群 满 足 如 下 的 三 个 公理 ; 
单位 元 律 〈unity) 存在 一 个 特别 的 元 素 unit, HAM FBT z WA xX unit=z, 


V zz X untt=x 


结合 律 (associativity) ”运算 符 X 满 足 结合 律 ， 也 就 是 说 在 重复 应 用 这 个 运算 符 时 ， 括 号 的 


顺序 和 结果 无 关 。 
V zV y V x(z X y) X z = zx 


X (y X z) 


右 逆 元 律 (right-complement) 每 个 元 素 z 都 有 一 个 逆 元 (complement) y 使 得 zXy 等 于 


单位 元 unit , 


V = 3 y(z= X y=unit) 


注意 > 是 z BJ 3536. 


我 们 要 证 明 对 于 每 个 元 素 xz， 都 存在 一 个 左 逆 元 y 使 得 yX x 等 于 单位 元 unit。 形 式 化 地 写作 ， 


Ved y(yXz 三 unit)。 我 们 首先 给 出 非 形式 化 的 证 明 ， 正 


0 在 数学 课 或 代数 书 上 所 做 的 那样 。 


首先 ， 我 们 任意 选择 z。 因 为 我 们 不 限制 z， 我 们 的 证 明 对 zx 的 每 一 个 可 能 值 都 成 立 (或 者 
说 “不 失 一 般 性 ”)。 根 据 “ 右 逆 元 律 ” 公 理 ， 存 在 一 个 值 y 使 得 


= X y= unit 
再 次 使 用 “ 右 逆 元 律 ” 公 理 ， 存 在 一 个 值 z 使 得 

y X z= unit 

我 们 用 下 面 的 等 式 证 明了 这 个 属性 : 

yRXau 
Cy X x) X unit 
(y X z) X (y X z) 
yx (zX (y X 2) 
y X (xX y) X z) 
y X Ganit X z) 
(y X unit) X z 
y X z 


lN H H H MH MH M 


unit 


通过 使 用 PVS 证 明 系 统 得 到 的 形式 化 证 明 (为 便于 


(3.3) 


(3.4) 


单位 元 律 

式 (3. 4) 

结合 律 

结合 律 

式 (3. 3) 

BOR 

单位 元 律 

AG. 4) 

表示 ， 这 里 稍 作 改动 );， 和 上 面 的 非 形 


式 化 证 明 的 思路 一 样 。 然 而 ,形式 化 证 明 则 以 更 为 细致 和 严格 的 方式 完成 。 这 个 证 明 是 “线性 


的 "， 因 为 当前 的 证 明 树 总 是 每 次 增加 恰好 一 个 新 节点 ， 


这 个 节点 就 是 新 的 子 目标 。 在 证 明 的 


最 后 一 步 ， 最 后 一 个 子 目 标 被 消除 ， 从 而 使 得 证 明 树 上 的 所 有 节点 都 按照 其 创建 顺序 的 逆序 被 


消除 。 7 
我 们 由 如 下 的 初始 目标 开始 ， 


1 VerdyyX z= unit 


这 样 ， 我 们 得 到 仅 包含 一 个 节点 的 树 ， 该 节点 即 当 前 子 目 标 。 将 后 继 1 中 的 变量 = 斯 科 伦 化 


为 新 的 常量 x'， 我 们 得 到 一 个 新 的 子 目 标 


unit 


Z Gi Gg ooN O 


应 用 “ 右 逆 元 律 ”假设 


x —1 VadyxX y= mit 
AVE X y = mit 


1 JyyX zx = ¿mit 


将 前 件 一 1 中 的 变量 = 实例 化 为 常量 xz。 
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* 一 1 dyrXy= wit 
1 3yyXz = unit 
将 前 件 一 1 中 的 变量 > 斯 科 伦 化 为 新 常量 》 。 
* 一 1 z'X y = uit 
l 3yyXz = uit 
应 用 “Apc > 假设 
* 一 1 Vaedyx X y= unit 
一 2 a’ X y'= unit 
1 3yyXxz == mit 
前 件 一 1 中 的 变量 z 实例 化 为 常量 y 。 
* 一 1 jyy X y= unit 
—2 2X y = unit 
1 JyyX r = unit 
前 件 一 1 中 的 变量 > 斯 科 伦 化 为 新 的 常量 > 。 
* —1 y X z = mit 
一 2 <x'X y' = unit 
1 3JyyX z! = unit 
应 用 “单位 元 律 ” 假 设 
* —1 Var X unit == zx 
一 2 y X z = uit 
—3 x X y = umit 
1 3yyXz' = unit 
前 件 一 1 中 的 变量 z 实例 化 为 项 (y x< x'), 
* 一 1 (y X z') X mit = (y! X x!) 
一 2 y Xz = mit 
—3 x' X y'= uit 





1 3yy Xa’ = unit 
根据 前 件 一 2， 将 前 件 一 1 中 的 unit HRW Cy X z), 
* 一 1 (y X z!) X Cy! X z") = Cy’ X z") 
—2 y Xz = unit 
一 3 z X y! == unit 
1 Jyy X zx = unit 
应 用 “结合 律 ”假设 
x —1 V<xVyV=(zX y) X z= zX (yX z) 
—2 (y'X z!) X (y' X z) = (y' X xz!) 
—3 y Xz == mit 
—4 zx'> y = unit 
1 3yy X zr = unit 
前 件 一 1 中 的 实例 化 为 。 
x —1 VY3Vz(y X y) X z= y X (y X z) 
一 2 Cy’ X z!) X Cy’ X 2") = (y X z") 
一 3 y X z = unit 
,一 4 x X y = mit 
1 Ayy.X 2! = uit 


前 件 一 1 中 的 y SBE z, 


前 件 一 1 中 的 = 实例 化 为 
x —1 

一 2 

一 3 

一 4 

1 

根据 前 件 一 2， 将 前 件 一 


* 
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一 1 Vely X z!) X z = y X (z' X z) 
—2 (y X z") X (y Xe) = Cy Xz) 
—3 y Xz = wit 
一 4 zx'X y = mit 
1 3yX a! == mit 
(y Xz’). 
(y X z!) X Cy X z!) = y! X (z! X (y! Xz)) 
Cy X z') X (y' X z') = (y' X z!) 
y Xz’ = unit 
a! x y' = unit 
3 yy X z' = uit 
1 中 的 (y Xz) XG X z!) 替换 为 O'X). 
—1 (y x z') = y X (z! X (y! X xz!)) 
一 2 (y X 2!) X (> X z) = (y Xx’) 
一 3 y Xz =uit 
一 4 x'X y = umit 











1 Ayy X 2’ = unit 


一 1 V<V V =z(xzX y) X[X z = zX (yX z) 
—2 (y X z!) =y X (z' X (y X z!)) 
一 3 (y X z!) X (y' x2’) = Cy! X z!) 
—4 y X 2! = unit 
一 5 zxXy = unit 

1 3yyXz' = unit 
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将 前 件 一 1 中 的 z 实例 化 为 z'、y 实例 化 为 y' 以 及 x 实例 化 为 z” (我 们 将 这 3 个 简单 的 步 又 


合 为 一 个 ) 。 


使 用 前 件 一 1， 将 前 件 一 


* —1 (x X y!) X z' = z' X (y' X z!) 
—2 (y Xz) = y Xr X (y! X z')) 
一 3 Cy X z!) X (y! X z!) == (y! X z!) 
—4 y X z'= uit 
—5 xX y = mit 

1 3 y X z' = mit 

2 中 的 Ca’ X Cy’ X z')) 替换 为 Ca Xy Xz), 
—1 (x'X y!) X z' = z' X (y' X z!) 

* —2 (y X z) =y X ((z'X y!) X z!) 
一 3 Cy X z!) X Gy X z') == (y! X z!) 
一 4 y X z' = unit 
—5 z X y = wit 

1 3yy X zr = unit 


使 用 前 件 一 5， 用 (Xy 替换 前 件 一 2 中 的 unit, 


—1 (a! X y!) X z' = x! X (y' X z!) 
* —2 (y Xx) = (y X Cmit X z')) 
—3 (y Xr) Xy x zN = Cy’ X z!) 
—4 y Xz = uit 
一 5 2! X y = unit 
1 doy Xz = mit 
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应 用 “结合 律 ” 假设 


V zV yV z(z X y) X z == z X (y X z) 
(2! X y!) X z' = z' X Cy’ Xz) 
Cy’ X z') == Cy! X Cunit X z')) 
(y X z!) X (y! X 2') = (y! X x!) 


y X z' = unit 
z X y' = unit 


3 yy X z' = unit 


将 前 件 一 1 中 的 二 实例 化 为 y、> 实例 化 为 unit 以 及 x 实例 化 为 = 。 


* 


— 1 
一 2 
一 3 
—4 
一 8 
—6 


(y X unit) Xz = y' X (unit X z!) 

Ca’ X y!) X z' = x' X (y! X z!) 

Cy! Xz) = (y! X (amit X z')) 

Cy X z!) X Oy X z!) =y X z!) 
I | ` 

y X zx unit 

z' X y! unit 


H! 





1 


J yy X z' = unit 


使 用 前 件 一 1， 将 前 件 一 3 中 的 y X Cunit Xz’) 替换 为 (y X unit) Xz’, 


—1 
一 2 


(y X unit) X z' = y X (unit X z') 
(Xz X y!) X z' =x X (y! X z!) 


x —3 Cy X x) = (Cy X unit) X z!) 


应 用 “单位 元 律 ” 假 设 


x 


—4. 


一 5 
一 6 


(y X z!) X (y! X z') = (y' X z!) 
I t . 

y Xz = unit 

a' X y = mit 





1 


—1 
一 2 
一 3 
—4 
一 9 
一 6 
一 7 


Avy X z' = unit 


Vax X unit =x 

Cy! X unit) Xz = y! X (unit X z!) 
(z' X y!) X z' = x! X (y X z) 

(y' X z') = ((y' X unit) X z!) 

Cy X z!) X (y! X z') = (y X 2’) 
t t . 

y X z = unit 

z' X y' = unit 





1 


J yy X z' = unit 


将 前 件 一 1 中 的 z 实例 化 为 y'。 


x 


—1 
一 2 
一 3 
— 4 
—5 
—6 
—7 

1 


y X unit = y 

(y X unit) X z' = y' X (unit X z!) 
(z' X y!) X z' = x' X (y! X z!) 
(y X z') = (Cy! X unit) X z!) 

(y X z!) X (y! Xz) = (y Xz') 
y X z' = mit 

z' X y' = unit 


3 yy X z' = uit 


使 用 前 件 一 1， 将 前 件 一 4 中 的 y X unit BRY y", 
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一 1 y X mit = y' 

—2 (y X unit) X Z = y' X (unit X z') 
一 3 (x'X y!) X z' Sa! Xy X z!) 

x —4 (y X z!) = (y X z') 

—5 (y X xz!) X (y! Xz) = (y' X z") 
—6 y Xz = mit 

—7 xX y = uit 

1 3yyX z' == mit 


使 用 前 件 一 56， 将 前 件 一 4 中 的 y X z PERA unit, 

一 1 y X mit = y' 
—2 (y X unit) Xz = y! X (unit X z!) 
—3 (zx Xy) X z =x X (y' X x!) 

x —4 y'X z' = ¿mit 
—5 (Y X z!) X Gy X z') = (y Xr) 
一 6 y X z = uit 
—7 x'X y == unit 








1 dyy Xa’ = unit 


一 1 y X unit = y 
一 2 (y X unit) Xz = y' X (unit X 2’) 
—3 (z'X y) X z = z! X (y' Xz’) 
—4 y X z' = mit 
—5 (y X z') X Cy X z) = (y Xz) 
—6 y X z = umit 
一 7 x Xy = umit 
* 1 y X z' = unit 
因为 前 件 一 4 和 后 继 1 是 相同 的 ， 我 们 现在 可 以 应 用 消去 命令 将 最 后 一 个 目标 消除 。 因 为 证 
明 的 结构 是 线性 的 〈 每 个 目标 有 且 仅 有 一 个 子 目标 )， 所 以 整个 证 明 树 《这 个 例子 中 仅 有 一 条 路 


径 ) 都 可 被 消除 了 ， 证 明 完 成 。 


3.10 机 器 辅助 证 明 

因为 不 可 判定 性 和 结构 不 完备 性 CE 6 节 中 已 讨论 过 ) 的 原因 ， 数 学 证 明 需 要 受过 相关 教 
育 的 人 的 精妙 技巧 。 然 而 ， 称 为 机 械 化 定理 证 明 器 (mechanized theorem prover) 的 计算 机 系统 ， 
可 以 有 效 地 大 助人 们 获得 和 检查 证 明 。 获 得 证 明 的 过 程 往往 是 证 明 者 和 机 械 化 定理 证 明 器 交互 
合作 的 结果 ， 这 里 的 证 明 者 可 能 是 数学 家 、 逻 辑 学 家 或 者 受过 训练 的 工程 师 。 

定理 证 明 器 帮助 证 明 者 的 方法 之 一 是 保证 证 明 的 严密 性 。 一 个 证 明 包 含 很 多 公式 ， 包 括 公 
理 ， 并 通过 证 明 规则 以 精确 的 方式 连接 起 来 。 人 们 在 证 明 时 往往 容易 犯错 误 。 只 有 在 证 明 上 花 了 
一 些 时 间 之 后 ， 证 明 者 才 会 在 看 起 来 明显 或 者 简单 的 地 方 走 一 些 “捷径 >。 使 用 机 械 化 定理 证 明 
器 时 不 允许 这 样 做 ， 并 保证 每 个 中 间 步 骤 都 严格 地 按照 所 用 证 明 系 统 的 规则 获得 。 

尽管 所 有 的 定理 证 明 器 都 强制 要 求 严密 性 ， 但 定理 证 明 研 究 团体 在 严密 的 程度 上 却 分 为 两 
派 。 极端 之 一 是 “纯粹 ”方法 的 支持 者 。 他 们 认为 在 定理 证 明 器 使 用 的 所 有 数学 结论 都 必须 要 验 
证 ， 且 验证 必须 在 很 少量 的 基本 公理 和 证 明 规则 上 进行 。 按 照 这 个 方法 ， 举 例 来 说 ， 若 是 一 个 人 
想 要 证 明 字符 串 上 的 一 个 属性 ， 而 之 前 在 这 个 论 域 中 没有 使 用 过 该 定理 证 明 器 ， 证 明 者 就 必须 
首先 将 字符 串 论 域 映射 到 定理 证 明 器 已 经 存在 于 其 中 的 某 个 论 域 上 。 证 明 者 不 能 新 增 字符 串 上 
的 公理 ， 而 必须 先 用 证 明 器 ， 依 据 已 经 证 明 过 的 定理 ， 将 这 些 关于 字符 串 上 的 新 公理 作为 定理 进 


38 


第 3 章 逻辑 和 定理 证 明 


行 证 明 。 只 有 在 此 之 后 ， 才 能 将 这 些 定理 用 于 其 他 证 明 。 

纯粹 方法 的 目的 明显 是 为 了 增强 证 明正 确 的 可 靠 性 。 事 实 上 ， 定 理 证 明 器 的 目的 就 是 提供 
足够 的 可 信和 度 。 在 纯粹 方法 下 ， 整 个 证 明 都 基于 非常 小 数量 的 已 经 广 为 接 受 的 公理 和 证 明 规 则 ， 
其 中 不 大 可 能 存在 矛盾 之 处 〈 存 在 矛盾 的 可 能 性 不 会 比 已 知 的 、 基 于 集合 论 和 类 型 论 的 数学 问 
题 更 大 [27]) 为 了 避免 在 使 用 这 种 系统 时 可 能 出 现 令 人 痛苦 的 时 间 开 销 ， 定 理 证 明 器 整合 了 一 
些 不 同 的 已 经 证 明 过 的 数学 理论 ， 并 将 其 以 定理 库 的 方式 组 织 起 来 ， 以 便 在 将 来 的 证 明 中 重复 
使 用 。 这 类 系统 的 一 个 例子 就 是 HOL [97], HOL 2% S32 MH (higher order logic) 的 英文 首 字 
母 缩写 。 

在 另 一 个 极端 ,“ 实 用 ”方法 关注 于 如 何 帮 助 用 户 更 快 地 得 到 证 明 。 它 允许 用 户 提供 新 论 域 
上 的 公理 系统 ， 并 在 构建 证 明 时 立即 使 用 它们 。 保 证 这 些 公 理 确实 反映 了 目标 论 域 上 的 属性 ， 则 
是 用 户 的 任务 。 用 户 在 最 小 的 时 间 投入 之 后 就 可 以 开始 使 用 机 械 化 定理 证 明 器 。 这 个 时 间 投入 
可 能 包括 ， 在 书 中 寻找 给 定论 域 上 的 合适 的 公理 ， 并 将 它们 转变 为 定理 证 明 所 接受 的 语法 。 

这 个 方法 在 工程 应 用 上 往往 很 有 效率 。 然 而 ， 用 户 必须 注意 其 中 的 风险 。 一 个 常见 的 现象 是 
只 要 证 明 者 认为 加 入 更 多 的 公理 可 以 使 证 明 更 加 简单 ， 他 们 就 倾向 于 在 验证 的 过 程 中 加 入 这 些 
公理 。 证 明 者 有 可 能 错误 地 认为 某 个 属性 在 给 定论 域 上 是 正确 的 。 这 种 “想当然 ”的 做 法 可 能 会 
使 得 证 明 比 预想 的 要 弱 很 多 : 加 入 的 公理 可 能 实际 上 只 是 假设 而 已 ， 它 们 可 能 成 立 也 可 能 不 成 
立 。 因 些 ， 证 明 者 仅仅 证 明了 属性 在 某 个 在 证 明 过 程 中 加 入 的 假设 之 下 成 立 ， 而 不 是 证 明了 属 
性 ”在 某 个 论 域 上 成 立 。 最 糟糕 的 情况 是 ， 如 果 加 入 的 假设 带 有 一 些 内 部 的 矛盾 ， 证 明 属 性 o R 
立 就 没有 任何 价值 了 。 应 用 “实用 ”方法 建立 的 证 明 系 统 的 例子 之 一 就 是 PVS [109]。 本 章 中 的 
证 明示 便 和 这 个 工具 的 证 明 过 程 很 接近 。 

定理 证 明 顺 能 够 帮助 证 明 者 的 另 一 个 方式 是 ， 在 给 定点 上 给 出 如 何 继续 证 明 的 建议 。 尽 管 
机 械 化 的 定理 证 明 器 可 能 不 能 自己 完成 证 明 ， 但 它 可 以 给 出 如 何 继续 证 明 的 各 种 有 用 的 建议 。 
尽管 对 很 多 重要 的 数学 结构 ， 定 理 证 明 不 能 自动 完成 ， 但 还 是 有 很 多 启发 式 方法 可 以 帮助 用 户 
决定 如 何 继续 证 明 。 

一 个 策略 (tactic) 是 一 个 组 合 ( 可 能 是 有 条 件 的 或 重复 的 ) 了 多 个 公理 和 证 明 规 则 的 应 用 
的 小 过 程 。 这 些 策略 允许 证 明 者 在 证 明定 理 的 过 程 中 完成 有 效 的 进展 ， 而 不 需要 每 次 只 应 用 一 
个 公理 或 证 明 规则 。 这 里 ， 纯 粹 方法 和 实用 方法 又 出 现 了 区 别 。 纯 粹 的 方法 允许 把 系统 中 已 经 存 
在 的 公理 和 证 明 规则 组 合 起 来 得 到 策略 ;实用 的 方法 通常 允许 这 些 策略 作为 外 部 程序 实现 ， 在 
证 明 中 应 用 于 某 些 子 目 标 而 产生 新 的 子 目 标 。 

机 械 化 定理 证 明 器 在 证 明 导 航 中 很 有 帮助 。 它 们 可 以 用 来 跟踪 不 同 的 未 完成 的 证 明 选 项 ， 
并 在 不 同 的 未 证 明子 目标 之 间 切 的 ， 并 记录 完整 的 证 明 以 用 于 后 续 的 更 新 ， 或 用 于 另 一 个 证 明 。 
很 多 定理 证 明 器 都 包含 一 个 重要 的 功能 ， 即 证 明 的 “美观 显示 ”。-- 旦 证 明 完成 ， 这 个 功能 可 产 
生 易 读 的 证 明文 本 。 这 些 文本 甚至 可 被 用 于 文章 或 书 中 。 


练习 3. 10.1 等 价 关系 Cequivalence relation) 常 和 形式 化 方法 一 起 使 用 ， 其 应 用 将 在 后 续 
章节 中 深入 讨论 。 回 顾 一 下 ， 在 2.1 节 中 ， 某 个 论 域 上 的 等 价 关系 “之 ”满足 下 面 的 三 个 公理 

HAM Vx=x=x, 

对 称 性 V zV y(z=¿y—yZ= z), 

传递 性 V zV yV z((zS=yA yx) >r). 

应 用 这 些 公理 非 形式 化 地 证 明 下 面 的 属性 ， 

BUR x ly RE, 那么 任何 与 z 等 价 的 值 z 一 定 与 y 不 等 价 。 

使 用 一 个 机 械 化 定理 证 明 器 (例如 ， 从 下 面 列 出 的 URL 中 获取 一 个 )， 以 形式 化 地 证 明 上 
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面 的 属性 。 形 式 化 地 说 ， 即 证 明 


V zV y(C z = y) — V z(zx= < z — ax y = zx)) 


3.11 机 械 化 定理 证 明 器 
ACL2 系统 由 德 克 萨 斯 大 学 奥 斯 丁 分 校 提 供 ， 


http://www. cs. utexas. edu/users/moore/acl2 

Coq 系统 由 INRIA 提供 : 

http: //pauillac. inria. fr/coq 

HOL 系统 由 剑桥 大 学 提供 ， 

http://www. cl. cam. ac. uk/Research/ HVG/ HOL 
Isabelle 系统 [106] 由 剑桥 大 学 提供 : 

http://www. cl. cam. ac. uk/Research/ HVG/Isabelle 


Larch 系统 由 MIT 提供 : 
http: //larch. les. mit. edu 


Nuprl &#8 H BEAR AR KA SR HE 


http://www. cs. cornell. edu/Info/Projects/NuPrl 


PVS 系统 由 斯 坦 福 研究 所 ( SRD 提供 ， 
http: //pvs. csl. sri. com 


TPS 系统 由 卡耐基 - 梅 隆 大 学 提供 ， 


http://www. cs. cmu. edu/andrews/ tps. html 
HEE: 使 用 形式 化 方法 系统 时 常常 需要 填写 并 发 送 适 当 的 发 布 表格 ， 以 表示 遵守 特定 的 使 
用 规范 。 
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G. S. Boolos, D. J. Richard, Computability and Logic, Cambridge University 
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D. van Dalen, Logic and Structure, Springer-Verlag, 3rd edition, 1994. 
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R. S. Boyer, J. S. Moore, The Computational Logic Handbook, Academic 
Press, 1998. 

T. F. Melham, M. J. C. Gordon, Introduction to HOL: A Theorem Proving ` 
Environment for Higher Order Logic, Cambridge University Press, 1993. 

L. C. Paulson, Logic and Computation: Interactive Proof with Cambridge 
LCF, Cambridge, 1990. 

N. Shankar, Mathematics, Machines and Godel’s Proof, Cambridge, 1997. 

L. Wos, The Automatic Reasoning: An Experimenter’s Notebook with Otter, 
Tutorial, Academic Press, 1996. 

L. Wos, Automated Reasoning: Introduction and Application, 2nd edition, 
McGraw-Hill, 1992. 
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“别人 觉得 你 是 怎么 个 人 ， 你 就 是 怎么 个 人 。” 一 一 或 者 ， 如 果 你 喜欢 说 得 简单 些 
“不 要 想象 你 自己 不 是 别人 心目 中 认为 你 是 的 那 种 人 ， 你 过 去 是 怎么 个 人 或 者 可 能 是 怎么 ee 


并 非 不 是 更 早 以 前 他 们 认为 你 不 是 的 那 种 人 。?” 
刘易斯 。 卡 洛 尔 《 爱 丽 丝 漫游 奇 境 记 》 


使 用 工具 或 技术 来 提高 软件 系统 的 可 靠 性 ， 通 常 需 要 先 对 其 建 横 。 也 就 是 说 ， 使 用 展现 系统 
可 观测 属性 的 数学 对 象 来 表示 该 系统 。 在 物理 学 中 ， 我 们 常常 会 使 用 一 个 系统 〔 例 如， 一 个 原 
f, 一 个 行星 ) 的 一 种 模型 来 分 析 系 统 的 某 些 属性 ， 这 种 方法 是 很 有 帮助 的 。 建 模 通 常 包 含 了 抽 
象 的 过 程 ， 即 简化 系统 的 描述 ， 同 时 仅 保 留 有 限 数量 的 原始 细节 。 这 使 得 人 们 可 以 仅 关 注 主 要 的 
属性 ， 并 且 更 好 地 控制 系统 的 复杂 度 。 与 物理 学 一 样 ， 在 软件 中 ， 通 常 处 理 一 个 抽象 模型 更 加 方 
便 和 易 控制 ， 因 为 相对 于 整个 系统 ， 抽 象 模型 更 加 简单 且 理 想 化 。 系 统 的 某 些 特性 ， 诸 如 高 复杂 
性 等 常常 会 让 人 们 无 法 直接 分 析 软件 代码 ， 而 模型 通常 可 以 被 构造 得 足够 小 且 简 单 ， 因 而 可 以 
应 用 形式 化 方法 。 从 另 一 个 角度 来 说 ， 由 于 数学 方法 无 法 直接 处 理 物理 实体 〈 例 如 计算 机 内 存 ) 
但 却 可 以 对 这 些 实体 进行 数学 抽象 ， 因 此 ， 建 模 是 很 有 必要 的 。 

为 软件 建 模 的 另 一 个 原因 是 软件 的 多 样 性 。 由 于 有 各 种 不 同 的 编程 语言 、 软 件 包 、 操 作 系 统 
和 计算 机 硬件 ， 软 件 可 靠 性 工具 不 可 能 支持 所 有 可 能 的 组 合 。 典 型 的 例子 就 是 ， 工 具 使 用 -种 特 
殊 的 语法 来 开发 ， 通 常 不 同 于 实际 编程 用 到 的 语法 。 因 此 ， 要 使 用 形式 化 方法 ， 往往 要 先 将 实际 
的 软件 转换 为 相应 的 工具 能 够 识别 的 语法 。 

将 软件 系统 自动 转换 为 由 某 种 固定 形式 表示 的 模型 ， 有 时 可 以 通过 一 些 编译 技术 来 实现 。 
但 是 ， 由 于 形式 化 方法 的 规约 语言 往往 在 结构 的 数量 上 上 比 编程 语言 有 更 严格 的 限制 ， 所 以 直接 
的 转换 通常 不 可 能 或 者 不 实际 。 自 动 转换 会 导致 大 量 无 效 的 表述 ， 使 得 某 些 目标 技术 或 工具 可 
以 利用 的 优化 方法 无 法 顺利 使 用 。 因 此 ， 转 换代 码 使 其 适用 于 形式 化 方法 工具 的 限制 ， 一 般 需 要 
有 经 验 的 工程 师 的 人 工 辅 助 。 

对 于 一 个 实际 系统 的 缩小 版 本 ， 模 型 并 非 必需 的 。 很 多 情况 下 ， 某 个 系统 的 模型 在 系统 开发 
前 或 并 行 于 开发 过 程 中 构造 。 这 样 做 可 以 使 得 系统 在 初期 就 被 检测 ， 比 如 ， 在 编写 实际 代码 前 先 
对 设计 进行 测试 。 人 们 可 以 对 初步 模型 进行 可 行 性 研究 ， 或 者 检验 非 形式 化 规约 的 一 致 性 。 这 个 
模型 可 以 被 具体 化 为 实际 代码 。 当 系统 的 实质 部 分 构建 完成 时 ， 检 验 实际 系统 和 初步 模型 的 一 
致 性 也 是 很 有 效 的 。 

一 个 模型 能 够 真实 地 反映 实际 系统 的 属性 是 很 重要 的 。 建 模 的 目的 之 一 就 是 简化 和 缩减 被 
检验 的 系统 。 为 了 达到 这 个 目的 ， 一 个 模型 可 能 只 保留 所 建 模 系统 的 某 些 属性 。 实 际 上 ， 有 时 候 
为 同一 个 系统 建立 不 同 的 模型 是 很 有 效 的 ， 这 些 模 型 保留 了 系统 的 不 同类 型 的 属性 ， 

为 系统 建 模 是 一 件 很 微妙 的 任务 。 有 很 多 因素 会 导致 错误 ， 比 如 处 理 并 行 关系 ， 或 是 使 用 正 
确 的 抽象 层次 。 如 果 模 型 是 错误 的 ， 那么 通过 验证 或 测试 该 模型 以 满足 某 个 属性 就 无 法 在 实际 
系统 上 实现 。 我 们 还 需要 更 多 的 技术 来 更 好 地 保证 系统 和 模型 间 的 转换 能 够 保留 被 验证 的 属性 。 
但 需要 说 明 的 是 ， 找 到 一 种 完全 保证 转换 正确 性 的 方法 是 不 可 能 的 。 

我 们 需要 详细 区 分 一 般 形式 化 方法 著作 中 的 “ 模型 ”和 本 书 中 特别 提 到 的 “模型 "。 数 学 模 
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型 是 一 个 概念 ， 是 满足 某 些 约束 和 观察 的 一 类 对 象 。 从 这 个 意义 上 说 ， 我 们 讨论 的 是 自动 机 模型 
(automata model) 或 者 交错 模型 (interleaving model) 。 另 一 方面 ， 一 个 特殊 的 系统 模型 是 指 某 
种 数学 对 象 ， 表 达 了 对 物理 系统 的 抽象 。 从 这 个 意义 上 说 ， 我 们 讨论 的 是 X11 窗口 系统 模型 。 不 幸 的 
是 ， 这 两 种 “模型 ”含义 的 使 用 在 形式 化 方法 的 术语 中 根深 蒂 固 ， 而 我 们 需要 同时 使 用 到 它们 。 


4.1 顺序 系统 、 并 发 系统 及 反应 式 系统 


系统 的 某 个 模型 应 该 能 够 反映 系统 的 某 些 人 们 感 兴趣 的 属性 。 为 了 有 效 地 为 软件 系统 建 模 ， 
我 们 必须 通过 分 析 来 表达 系统 的 典型 特性 。 我 们 首先 描述 建 模 和 随后 的 形式 化 分 析 中 将 会 涉及 
的 不 同类 型 的 软件 系统 。 

一 个 顺序 系统 通常 可 以 用 其 输入 -输出 关系 来 描述 ， 例 如 ， 连 接 可 能 的 初始 状态 及 可 能 的 计 
算 结 果 的 条 件 。 这 种 关系 是 可 以 被 表述 出 来 的 ， 比 如 应 用 一 阶 逻 辑 来 描述 。 因 此 ， 验 证 顺序 程序 
或 算法 的 正确 性 通常 意味 着 用 以 下 方式 证 明 一 个 断言 : 如 果 程 序 以 满足 一 个 确定 条 件 的 状态 开 
始 ， 之 后 程序 最 终 能 结束 ， 且 最 终 状态 的 程序 变量 和 开始 执行 时 的 相关 值 满足 某 种 给 定 的 关系 。 
《第 7 章 将 会 形式 化 地 表达 这 种 规约 并 且 给 出 一 些 相 关 的 证 明 技术 。) 

很 多 并 发 系统 使 用 并 行 化 来 提高 计算 的 效率 。 并 行 化 可 以 将 计算 代价 分 配 到 不 同 的 计算 机 
上 以 达到 更 快 的 执行 时 间 。 相 对 于 仅 有 输入 -输出 转换 器 ， 并 发 系统 通常 更 加 复杂 。 其 中 包括 相 
互 作用 的 顺序 组 件 ， 我 们 称 之 为 进程 。 输 人 -输出 关系 通常 不 足以 说 明 这 类 的 系统 的 行为 。 

多 道 程序 设计 (multiprogramming) 是 并 发 计算 的 一 种 模式 。 早 期 的 计算 机 通常 使 用 调度 器 
在 一 个 处 理 吕 上 模拟 并 发 。 其 目的 是 让 程序 更 好 地 利用 昂贵 的 (在 当时 ) 计算 机 时 间 资 源 。 这 种 
做 法 使 得 机 器 可 以 在 其 他 任务 或 进程 等 待 一 般 较 慢 的 输入 或 输出 操作 完成 时 执行 更 多 的 计算 。 
这 种 做 法 还 使 得 多 人 同时 在 同一 台 机 器 上 工作 ， 而 且 每 个 人 都 感觉 是 在 用 一 台 自 己 独 有 的 机 器 。 
多 道 程 序 设计 系统 包含 一 个 调度 器 ， 调 度 器 控制 如 何 分 割 各 进程 的 执行 时 间 ， 将 一 个 进程 与 另 
一 个 进程 交换 以 优先 执行 。 , 

如 今 虽然 多 道 程序 设计 还 十 分 普遍 ， 但 很 多 应 用 程序 已 开始 使 用 由 多 个 进程 组 成 的 分 布 式 
组 件 来 合作 完成 一 项 任务 。 这 样 的 多 处 理 (multiprocessing) 不 但 可 以 加 快 计算 速度 ， 还 可 以 对 
系统 进行 分 配 ， 以 一 致 的 方式 同时 服务 于 不 同 地 域 的 人 。 在 这 样 的 系统 中 ， 输入 -输出 关系 退 居 
次 位 。 实 际 上 ， 有 些 软件 系统 ， 例 如 操作 系统 和 航空 订 票 系统 ， 被 设计 为 仅 在 一 些 诸如 断 电 等 异 
常情 况 下 才 会 结束 。 在 多 处 理 系 统 中 ， 进 程 在 不 同 的 处 理 器 上 执行 ， 相关 的 处 理 器 的 速度 将 影响 
不 同 进 程 间 的 交互 。 当 一 个 有 ?个 处 理 器 的 系统 执行 加 >># 个 进程 时 会 产生 多 种 组 合 的 情况 ， 这 
些 情况 需要 多 道 程 序 设计 和 多 处 理 技术 来 解决 。 

如 果 一 个 系统 关注 在 组 件 间或 是 系统 与 环境 间 的 交互 ， 我 们 称 这 种 系统 为 反应 式 系统 (re- 
active system) [90]。 反 应 式 系统 可 以 是 顺序 的 ， 也 可 以 是 并 发 的 。 描述 或 验证 并 发 系统 或 反应 
式 系统 包括 很 多 方面 ， 例 如 对 请 求 的 响应 ， 或 服务 的 可 用 性 。 

举 一 个 航空 订 票 系统 的 规约 作为 例子 。 我们 可 以 确定 ， 如 果 一 个 航班 的 座位 没有 被 订 满 而 
一 个 顾客 想 要 订 票 ， 那 他 最 终 会 订 到 票 。 但 是 ， 如 果 系 统 仅 剩 一 张 票 ， 而 有 两 个 顾客 都 要 订 票 ， 
这 时 系统 必须 阻止 两 个 顾客 订 到 同一 个 座位 的 情况 发 生 。 或 者 ， 系统 可 以 防止 订 票 数 超过 菜 个 
浆 值 。 一 般 来 说 ， 顾 客 在 订 票 的 时 候 是 位 于 世界 各 地 的 。 这 样 的 航空 订 票 系统 应 该 包括 多 个 软件 
组 件 ， 其 中 一 些 组 件 是 自治 的 ， 这 些 组 件 通 过 一 些 通信 媒介 来 互相 合作 以 保持 系统 总 体 的 一 臻 
人 性。 这样 的 系统 ， 我 们 称 之 为 分 布 式 系统 。 . 

相对 于 简单 的 顺序 系统 ， 并 发 系统 通常 更 加 难以 建 模 及 分 析 。 它们 包含 了 不 同 的 相互 影响 
的 组 件 。 在 任意 给 定 的 时 刻 ， 可 能 有 不 同 的 系统 活动 以 及 可 选择 的 继续 计算 的 方式 。 由 于 计算 组 
件 的 速度 及 负载 差异 ， 不 同 的 并 发 组 件 间 存在 着 相互 党 争 。 在 每 次 独立 的 系统 执行 中 ， 这 样 的 竞 


41 


42 


SAE 软件 系统 建 模 


争 可 能 产生 不 同 的 结果 。 也 就 是 说 ， 即 使 是 同一 个 执行 点 ， 继 续 执行 的 方式 也 可 以 多 种 多 样 。 举 
例 来 说 ， 当 两 个 进程 都 可 以 改变 某 个 共享 变量 的 值 时 ， 或 是 两 个 以 上 进程 在 通信 时 ， 这 种 情况 都 
有 可 能 发 生 。 这 种 现象 称 为 不 确定 性 (nondeterminism)。 这 使 得 并 发 系统 的 建 模 变 得 复杂 ， 从 
而 导致 规约 和 验证 也 更 加 困难 。 

使 用 一 个 适当 的 抽象 来 描述 一 个 系统 是 很 重要 的 ， 这 样 的 抽象 能 保留 必要 的 细节 ， 同 时 忽 
略 一 些 不 重要 的 方面 。 很 多 用 于 软件 建 模 的 数学 形式 化 方法 忽略 了 实际 执行 时 间 的 信息 ， 比 如 
状态 间 转 换 的 时 间 。 相 应 地 ， 这 些 方 法 仅 保留 了 状态 间 的 顺序 。 之 所 以 这 么 做 ， 是 因为 实际 执行 
时 间 可 能 相对 不 重要 一 些 〈 只 要 实际 执行 时 间 是 合理 的 ， 我 们 假设 那 是 可 以 独立 测试 的 ) 。 而 且 ， 
时 间 信 息 很 难 分 析 ， 而 且 可 能 会 由 于 系统 的 某 些 部 分 被 替换 而 变化 。 因 此 ， 抽 象 掉 时 间 信 息 的 验 
证 更 加 容易 ， 同 时 对 硬件 变化 有 更 好 的 鲁 棒 性 。 然 而 ， 有 些 系 统 可 能 存在 一 些 特 殊 的 时 间 约 束 。 
近年 来 ， 人 们 设计 了 很 多 用 来 处 理 实际 执行 时 间 的 形式 化 方法 ， 这 些 方法 旨 在 处 理 一 些 时 间 关 
键 系统 (参见 [6] 中 的 例子 ) 。 

以 下 是 一 些 对 软件 系统 建 模 需 要 考虑 的 主题 ， 

并 发 性 的 表示 。 当 由 不 同 的 并 发 进程 执行 某 个 转换 时 ， 我 们 应 该 如 何 建 模 ? 

° 某 一 时 间 仅 允许 一 种 转换 (我 们 称 之 为 交错 模型 )? 

。 人 允许 多 个 转换 来 改变 状态 (在 最 大 并 发 模型 中 可 行 ， 这 类 模型 主要 用 于 硬件 )? 

。 使 用 事件 间 的 偏 序 关系 以 反映 事件 发 生 的 因果 次 序 ? 

粒度 ”什么 是 合适 的 转换 描述 层次 ? 是 一 个 简单 的 赋值 ， 一 段 待 证 程序 代码 中 的 判定 谓词 ， 
一 个 在 所 有 相关 进程 中 执行 的 简单 机 器 码 指令 ， 或 是 像 执行 代码 的 处 理 器 的 电压 变化 这 样 的 物 
理 变化 ? 

执行 模型 模型 是 否 需要 包括 所 有 可 能 的 完整 执行 的 集合 ? 或 者 说 ， 由 于 不 确定 性 的 选择 
或 是 可 能 与 环境 交互 ， 我 们 是 否 需要 观测 程序 执行 中 所 有 点 的 所 有 可 能 分 支 9 

全 局 或 本 地 状态 在 并 发 系统 或 分 布 式 系统 中 ， 我 们 是 否 需 要 全 局 状态 来 表示 整个 系统 的 
瞬时 状态 ,或 者 只 是 使 用 本 地 状态 来 表示 一 个 简单 的 并 发 处 理 器 上 某 个 变量 的 峰值? 


4.2 状态 


状态 (state) 是 描述 一 个 系统 的 核心 概念 。 状 态 表示 了 程序 在 执行 中 的 某 个 确定 时 刻 的 一 些 
信息 。 状 态 可 以 是 简单 的 描述 程序 的 某 个 给 定点 的 抽象 实体 ， 例 如 用 waiting_for_input_from_user 
这 个 命题 来 表示 程序 的 状态 ， 这 个 变量 在 执行 过 程 中 的 任意 点 上 的 值 可 以 是 TRUE 或 FALSE, 
通常 来 说 ， 一 个 状态 可 以 用 程序 的 每 个 变 元 的 一 种 赋值 来 表示 〈 从 一 阶 逻 辑 的 角度 而 言 ， 参 见 
3.2 节 )。 有 些 时 候 ， 人 们 需要 表述 一 些 程序 中 没有 直接 提 及 的 附加 变量 ， 例 如 ， 用 来 表示 程序 
控制 流 当前 位 置 的 程序 计数 器 ， 或 是 用 来 表示 进程 间 消 息 传递 的 消息 队列 。 

举例 来 说 ， 一 阶 罗 辑 是 一 种 可 以 表示 程序 状态 的 属性 的 规约 形式 ， 我 们 之 前 在 第 3 章 已 经 学 
习 过 了 。 一 个 使 用 程序 变 元 作为 自由 变 元 的 一 阶 公式 可 以 表达 一 组 满足 该 公式 的 程序 状态 集合 。 
其 中 每 个 状态 都 是 程序 各 变量 的 一 种 赋值 。 我 们 应 该 使 用 一 种 合适 的 一 阶 签 名 和 结构 来 帮助 关 
定 程序 域 中 的 属性 。 

命题 型 的 公式 同样 可 以 用 于 描述 状态 。 这 就 要 求 这 些 命题 根据 一 些 状态 命题 来 定义 。 举 例 
来 说 ， 我 们 也 许 对 变量 z 和 2? 的 单个 值 并 不 感 兴趣 ， 但 是 我 们 会 关心 当 z 的 值 大 于 y 的 值 时 ， 状 
态 得 以 区 分 。 于 是 ， 我 们 会 定义 一 个 命题 p， 当 x>y 时 为 TRUE, Billy FALSE. 

初始 状态 和 终止 状态 是 程序 状态 集合 中 的 两 个 重要 状态 。 如 前 文 所 述 ， 顺 序 程序 的 正确 性 
标准 往往 只 和 这 些 状态 集合 相关 。 其 他 的 中 间 状 态 和 程序 求 值 过 程 中 的 执行 点 相符 合 。 正 确 性 
证 明 在 程序 过 程 产生 的 断言 中 使 用 这 些 中 间 状 态 ， 并 依 此 建立 程序 变量 在 执行 开始 和 结束 时 的 
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关系 ， 或 是 验证 程序 的 可 终止 性 。 
要 表达 并 发 系统 、 分 布 式 系 统 或 反应 式 系 统 的 属性 ， 我 们 需要 能 够 表示 程序 状态 间 的 动态 


变化 的 方法 。 我 们 将 在 第 5 章 中 学 习 可 以 表示 这 样 的 动态 属性 的 形式 化 方法 。 


4.3 状态 空间 

对 于 顺序 系统 和 并 发 系统 ， 建 模 为 转换 系统 (transition system) 通常 是 很 方便 的 。 转 换 系 
统 可 以 描述 系统 的 行为 ， 看 上 去 就 像 每 个 时 刻 只 有 一 个 原子 转换 被 执行 一 样 。 相 似 的 模型 也 被 
用 于 描述 硬件 系统 。 

在 4.4 节 中 ， 我们 将 会 形式 化 地 描述 转换 系统 ， 在 转换 系统 中 ， 系 统 可 以 处 于 有 限 或 无 限 数 
量 的 状态 中 的 某 一 个 。 在 每 个 状态 上 ， 系 统 可 以 执行 一 系列 原子 转换 中 的 一 个 。 这 一 系列 转换 就 
是 该 状态 可 行 的 (enabled) 转换 ， 其 他 转换 是 不 可 行 的 (disabled) 。 在 每 个 状态 中 选择 一 个 可 行 
的 状态 ， 将 系统 转换 为 一 个 新 的 状态 。 只 要 至 少 有 一 个 可 行 状 态 ， 则 该 过 程 不 断 继续 。 这 种 过 
程 ， 我 们 称 之 为 计算 的 交错 模型 。 

系统 的 状态 空间 通过 一 个 图 (S, A, D AER, HP S 是 状态 的 集合 ，A4 忆 SX S 是 状态 闻 
的 转换 关系 ，ICS 是 初始 状态 。 我 们 也 把 这 样 的 图 称 为 自动 机 (automaton), KH TE MEE 
的 角度 强调 了 模型 。 我 们 可 以 把 它 看 做 一 个 简单 的 机 器 ， 这 人 台 机 器 可 以 识别 程序 的 执行 。 自 动机 
的 一 次 执行 是 一 个 序列 sss PIURE ss ET 开始 并 且 根 据 关系 A〈 即 对 于 任意 0, (s, 
Sit DCM) 继续 。 这 样 的 一 次 执行 必须 达到 最 大 化 ， 也 就 是 说 ， 或 者 执行 序列 是 无 穷 的 ， 或 者 达 
到 一 个 无 后 继 的 节点 。 需 要 注意 的 是 ， 由 于 执行 序列 可 能 是 无 穷 的 ， 我 们 并 不 真正 用 一 个 自动 机 
来 识别 所 有 执行 。 这 仅仅 是 一 个 可 以 用 来 帮助 分 析 系统 的 数学 模型 。 我 们 会 对 自动 机 模型 添加 
更 多 的 结构 并 在 第 5 章 中 详细 讨论 。 

根据 需求 和 关联 〈 这 会 在 之 后 的 章节 中 提 到 ) ， 我 们 可 以 为 自动 机 添加 附加 组 件 。 举 例 来 说 ， 
可 以 通过 为 A 中 的 每 条 边 添加 标签 来 标识 执行 的 转换 。 在 有 限 状 态 系 统 中 ， 可 能 用 一 个 命题 变 
量 的 集合 来 标记 每 个 状态 ， 每 个 变量 表示 某 状态 的 属性 。 比 如 说 ， 这 些 变量 可 以 描述 某 个 过 程 属 
于 程序 中 的 某 个 片段 ， 茶 个 过 程 已 经 终止 ， 或 者 某 个 特殊 的 变量 的 值 高 于 某 个 确定 的 阐 值 。 

关于 交错 模型 ,我们 将 在 后 面 给 出 形式 化 的 说 明 ， 它 把 系统 的 执行 看 成 是 一 个 状态 的 序列 ， 
称 为 交错 序列 。 在 交 销 序列 中 ， 一 个 时 间 点 只 有 一 个 转换 得 以 执行 。 它 的 名 字 说 明了 ， 如 果 系 统 
是 由 多 进程 组 成 的 ， 那 么 各 进程 的 转换 通过 交错 形成 一 个 单线 程 的 执行 过 程 。 因 此 ， 每 个 交错 序 
列 在 状态 图 中 形成 一 条 路 径 。 由 于 其 简单 性 ， 人 们 更 喜欢 使 用 交错 模 型 ， 而 不 是 诸如 偏 序 模型 
(将 在 4.13 节 中 讨论 ) 之 类 的 其 他 模型 。 很 多 数学 工具 ， 例 如 自动 机 和 线性 时 序 逻 辑 都 能 够 支持 
交错 模型 ， 这 简化 了 专门 的 形式 化 方法 的 开发 。 

当 我 们 试图 解释 为 什么 我 们 用 交错 模型 来 描述 计算 ， 特 别 是 并 发 计算 时 ， 我 们 常常 会 提出 
下 面 这 个 问题 ， 

实际 上 ， 不 同 进程 间 的 转换 可 能 会 在 时 间 上 重重 ， 我 们 应 该 如 何在 交错 模型 中 表 

示 这 个 特性 ? 

要 回答 这 个 问题 ， 我 们 考虑 a 和 有 两 个 执行 时 重 登 的 转换 。 假 设 。 和 有 执行 时 都 是 始 于 某 个 
给 定 的 状态 。 通 常 并 发 执行 转换 的 效果 也 是 可 交换 的 (commutative), WREEK, TARIE 
什么 样 的 执行 顺序 ，“ 先 于 8 或 8 先 于 a， 丙 者 的 执行 结果 会 导致 同样 的 状态 .这 样 的 情况 下 ， 交 
错 模型 会 允许 两 种 执行 方式 ， 一 种 是 a 先 于 8， 另 一 种 是 8 先 于 a。 实 际 上 ， 由 于 执行 a 和 8 的 机 
器 的 相对 速度 ， 或 是 由 于 执行 这 些 转换 的 多 道 程序 的 机 器 的 调度 方法 ，“ 和 8 可 以 以 两 种 方式 中 
的 任 一 种 执行 。 它 们 也 可 以 同时 执行 ,但 这 种 可 能 性 在 交错 模型 中 没有 明确 地 描述 ， 

在 图 4 1 中 ， 转 换 = 将 变量 z 的 值 增加 1， 转换 8 将 变量 y 的 值 增加 1。 两 个 转换 从 状态 z 二 1 
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RE y=1 上 同时 执行 。 当 两 个 状态 以 任意 顺序 交错 执行 时 ， 结 果 都 是 状态 zx 一 2 H > 一 2。 

还 有 一 种 情况 ,转换 和 6 属于 不 同 的 进程 ， 但 是 它们 不 是 可 交换 的 。 举 例 来 说 ， 当 两 个 转 
换 改 变 的 是 两 个 进程 的 公共 变量 时 ， 这 种 情况 就 会 发 生 。 考 虑 图 4. 2 中 的 情况 ，“ 将 变量 z 的 值 
增加 1!， 转 换 8 将 变量 z 的 值 加 售 ， 两 个 转换 都 可 以 在 状态 z—1 开始 执行 。 当 = 先 于 8 执行 时 ， 
我 们 得 到 一 个 状态 x 一 4。 另 一 种 情况 下 ， 当 Bp 先 于 a 执行 时 ， 我 们 得 到 z 一 3。 


{x4 I, y= l} 







axi=x+l By: =y+1 





{xH2,yr]l} {xmel yr 2} 
By =yrl ax: =x+} 
{x= 2, y— 2} 
4.1 可 交换 转换 的 执行 4.2 非 可 交换 转换 的 执行 


在 这 种 情况 下 ，c 和 8 的 执行 是 不 可 重要 的 ， 我 们 需要 强制 〈 通 过 硬件 仲裁 的 方式 ) 其 按照 
某 种 顺序 来 执行 。 在 交错 模型 中 ， 如 果 不 能 够 把 并 发 的 状态 表述 为 一 个 接 一 个 的 执行 的 话 ， 我 们 
就 不 允许 状态 并 发 县 相互 影响 。 由 于 交互 并 不 是 软件 建 模 所 必需 的 ， 所 以 这 通常 不 是 一 个 大 问 
题 。 有 些 系统 ， 包 括 同步 硬件 ， 会 允许 以 任何 一 种 顺序 执行 的 转换 所 获得 的 结果 。 这 种 情况 下 ， 
我 们 可 以 选择 另外 的 模型 来 表示 这 样 的 交互 。 举 例 来 说 ， 在 硬件 中 ， 人 们 通常 使 用 最 大 并 发 模 
型 ， 这 种 模型 允许 多 个 转换 在 同一 时 间 执 行 。 有 些 时 候 ， 我 们 可 以 把 所 有 这 样 的 转换 间 的 交互 整 
合成 一 个 大 的 转换 ， 把 所 有 可 能 的 交互 情况 全 部 考虑 在 内 。 


4.4 转换 系统 


在 本 节 中 ， 我 们 将 会 定义 转换 系统 。 一 个 转换 表示 (顺序 或 并 发 ) 系统 的 一 个 原子 操作 ( 例 
如 ， 初 始 化)。 转 换 系 统 可 以 用 来 产生 描述 系统 的 状态 空间 。 状 态 空间 包含 的 信息 包括 系统 的 不 
同 状 态 间 如 何 相互 联系 ， 而 转换 系统 包含 了 不 同 状态 GER) 的 产生 者 的 信息 。 因 此 ， 一 个 转换 
系统 在 某 种 程度 上 暗示 了 其 对 应 的 状态 空间 。 
从 形式 上 来 说 ， 一 个 转换 系统 (S, T, © 的 定义 如 下 
。 一 个 一 阶 结构 S， 其 中 包括 一 个 一 阶 签名 9G， 一 个 域 (或 是 多 重 域 ， 即 通常 用 于 定义 转换 系统 
的 结构 的 情况 )， 关 系 及 函数 ， 还 有 一 个 解释 函数 。 转 换 系 统 使 用 的 条 件 和 表达 式 通 过 签名 0 
来 表达 ， 并 且 通 过 结构 5 来 解释 。 其 中 签名 9 包含 了 一 个 有 限 变 量 集 合 V。 这 个 变量 集合 包括 
了 程序 代码 明确 描述 的 变量 以 及 程序 计数 器 也 叫做 位 置 计 数 器 )。 每 个 并 发 进程 都 包含 一 个 
程序 计数 器 ， 程 序 计数 舌 通 常 隐 含 于 程序 代码 中 ， 它 表示 了 一 些 程序 的 内 部 值 ， 这 些 值 指 出 
了 下 一 条 指令 或 指令 集 的 位 置 ， 进程 可 以 选择 这 些 指令 或 指令 集 继续 程序 的 执行 。 在 为 系统 
建 模 的 过 程 中 ， 人 们 有 时 候 需 要 为 每 个 这 样 的 程序 计数 器 及 其 可 理解 的 一 一 组 值 〈 程 序 标签 ， 
goto 语句 的 目标 ， 如 果 在 原始 代码 中 已 经 存在 ) 的 集合 “发 明 ” 一 些 新 的 名 字 。 这 使 得 我 们 
可 以 在 程序 变量 的 值 相同 而 至 少 有 一 个 进程 处 于 不 同 的 位 置 时 区 分 不 同 的 状态 。 

° 一 个 转换 的 有 限 集合 T， 每 个 转换 tiET 以 如 下 形式 表示 

P — (Vv Vs) P= Ce, sers se,) 

条 件 p 是 一 个 未 测量 的 一 阶 公 式 ， 其 变量 属于 VV，。 ESP, ú, es, G €V, Bese, =, 
e, 是 结构 9 中 的 一 阶 表达 式 (项 )。 需 要 注意 的 是 ， 每 个 程序 只 有 一 个 转换 集合 ， 因此 所 有 不 
同 进程 中 的 转换 都 会 被 放 在 一 起 。 

* 一 个 初始 状态 O, 这 是 一 个 变量 属于 V 的 未 测量 的 一 阶 公式 。 


第 4 章 软件 系统 建 模 - 45 


我 们 也 会 把 建 模 的 程序 中 没有 发 生 的 结构 S 函 数 和 关系 包括 进来 ， 同 时 在 签名 9 中 添加 合适 的 符 
号 。 之 所 以 这 人 么 做 是 因为 程序 规约 可 能 需要 用 到 这 些 函 数 和 关系 这 是 因为 程序 的 迭代 性 质 会 导致 计算 
的 数学 结构 并 非 用 代码 直接 表示 。 举 例 来 说 ， 一 个 程序 会 使 用 迭代 的 加 法 来 计算 两 个 整数 相 乘 。 

直观 上 说 ， 以 pm Cos ths ts Wm) :一 (ea，e，…，e) 这 样 的 形式 表达 的 转换 上 可 以 在 任 
何 满足 条 件 p 的 状态 上 执行 。 因 此 ， 条 件 p 被 称 为 转换 1 的 可 执行 条 件 (enabledness condition), 
也 可 以 表达 为 en,。 当 一 个 条 件 p ERS s 上 被 满足 ， 即 当 sepa, RM ERs 上 可 执行 
(enabled) 。 在 某 个 状态 s 上 执行 转换 i 的 效果 是 基于 状态 s 的 变量 的 值 计算 各 个 项 el ，e, ，…， 
er。 之 后 将 获得 的 值 分 别 赋 给 ww ，v, ，…，wv,， 得 到 一 个 新 的 状态 "“。 有 些 时 候 ， 我 们 通过 在 一 
个 状态 s 上 执行 一 个 转换 上 来 表示 某 种 状态 的 变化 ， 这 样 通 过 * 一 上 s) 得 到 一 个 新 的 状态 ;。 执 
行 计 算 的 顺序 是 很 重要 的 。 首 先 ， 所 有 的 项 都 会 根据 当前 的 状态 来 计算 ， 之 后 将 计算 的 值 赋 给 变 
E. WJ. (z, y): (y, z) 的 效果 就 是 用 y 来 代替 x。 如 果 我 们 不 先 计算 每 个 表达 式 再 将 其 
赋 给 变量 ， 则 赋值 的 结果 就 有 可 能 不 同 。 特 别 要 说 明 的 是 ， 把 y MRA z 再 把 z 的 值 赋 给 y, 
其 结果 是 把 y MIRA Y z Aly. 

初 看 起 来 ， 人 允许 在 原子 转换 中 进行 多 个 赋值 似乎 违背 了 原子 性 的 想法 ， 因 为 直观 上 ， 没 有 冲 
突 地 执行 一 些 改变 似乎 很 困难 。 但 是 ， 考 虑 到 程序 变量 包含 了 程序 计数 器 ， 对 一 个 变量 的 一 个 典 
型 的 赋值 也 会 涉及 将 程序 计数 器 置 为 一 个 新 值 ， 来 指向 执行 进程 中 的 下 一 个 可 执行 指令 。 

系统 的 一 个 执行 是 一 个 状态 的 序列 。 它 开始 于 初始 状态 中 的 某 一 个 ， 即 某 个 满足 初始 条 件 蝇 的 
状态 ， 之 后 通过 选择 并 执行 系统 的 转换 来 实现 一 个 状态 到 另 一 个 状态 的 推进 。 一 个 执行 可 以 到 达 系 统 
终止 或 死 锁 的 状态 。 终 止 和 死 锁 的 区 别 ， 仅 仅 在 于 当 执 行 不 能 从 一 个 状态 继续 时 ， 该 情况 是 计划 中 的 
〈 例 如， 当 程 序 完成 任务 且 没 有 下 一 步 任 务 时 ) 还 是 非 计划 中 的 〈 例 如 ， 在 某 些 任务 完成 前 程序 终止 ) 。 

一 个 执行 可 能 无 法 终止 。 这 种 情况 可 能 是 有 意 的 ， 或 是 由 于 无 法 在 有 限时 间 内 完成 程序 的 
任务 。 当 然 ， 实 际 系统 从 来 不 会 无 限 地 执行 ， 因 为 它们 可 能 被 中 断 ， 或 是 最 终 被 新 的 程序 取代 。 
尽管 如 此 ， 我 们 通常 对 系统 的 执行 不 做 限制 ， 认 为 其 可 以 永远 继续 ， 这 样 的 系统 抽象 通常 是 十 分 
有 效 的 。 我 们 不 允许 执行 在 至 少 有 一 个 转换 可 以 执行 的 状态 上 结束 。 因 此 ， 这 些 执行 就 是 状态 空 
间 中 的 最 大 路 径 。 

在 定义 热 行 时 ， 我 们 需要 指出 真正 代码 的 实际 执行 和 其 数学 表示 的 重要 区 别 。 了 解 这 种 区 别 是 十 
分 重要 的 ， 在 本 书 中 ,，“ 执 行 ” 是 一 种 数学 构造 ， 它 和 程序 的 一 种 模型 相关 ， 而 与 运行 实际 代码 无 关 。 

形式 化 地 表述 ， 一 个 程序 的 一 个 执行 是 一 个 无 限 的 状态 序列 s, s, +, 其 中 sF-°@, BH 
行 的 第 一 个 状态 满足 初始 条 件 。 对 于 任意 io, 需要 满足 以 下 两 种 情况 之 一 ， 

1. 存在 一 个 转换 Pry, Us `e Und t= Crs egy ty e) 在 5 上 可 执行 ， 即 sHsp. 此 
Bhs lis L, 为 项 ae， e, s e, 的 值 。 Ws =sl/ns b/w, 5 Llu, 

2. 不 存在 可 执行 的 转换 ， 即 其 条 件 p 在 s; 上 被 满足 的 转换 。 则 对 于 任意 >i, 我 们 可 以 得 
Fj s;=s,. 

这 种 情况 下 ， 当 没有 可 执行 的 转换 时 ， 序列 通过 无 限 重复 最 后 一 个 状态 而 扩展 为 无 限 序列 。 当 
然 ， 这 只 是 一 种 技术 上 的 转换 以 保证 不 会 同时 出 现 有 限 和 无 限 序列 。 当然 ， 我 们 还 可 以 在 转换 集合 T 
中 加 入 一 个 新 的 转换 :， 当 所 有 其 他 转换 都 不 可 执行 的 时 候 ， 该 转换 可 执行 ， 且 不 改变 状态 ， 这 样 也 
可 以 强制 所 有 的 序列 变 为 无 限 序列 。 因 此 ， 如 果 THN RRO, by +, n 的 条 件 分 别 是 p, 
Dr, Das 则 我 们 可 以 把 这 个 定义 为 -Cp V p; V: V p.) >o =u), Hhy EV 是 任意 变量 。 

在 程序 的 某 个 执行 中 出 现 的 状态 ， 称 为 可 达 (reachable) RA. 并 不 是 状态 集 S 中 的 所 有 状 
态 都 是 可 达 的 。 考 虑 这 样 一 个 例子 ， 程序 中 的 所 有 变量 都 被 定义 为 (有 界 的 》 自然 数 ，S 中 的 状 
态 对 应 程序 变量 的 所 有 可 能 的 自然 数 赋值 。 举 例 来 说 ， 我 们 要 求 变量 yl 的 值 总 是 大 于 变量 y2 的 
值 ， 这 可 能 就 是 一 个 不 可 达 状 态 。 通 常 来 说 ， 定义 状态 空间 时 不 考虑 可 达 性 因素 ， 间 时 ， 根据 程 
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序 变量 的 值 域 来 定义 状态 集 S， 而 不 考虑 由 程序 代码 所 带 来 的 变量 间 的 特殊 联系 ， 会 使 得 定义 过 
程 变 得 简单 一 些 。 这 也 使 得 状态 不 会 出 现在 所 有 可 能 的 执行 中 。 

我 们 也 会 使 用 上 述 执行 定义 的 变 体 。 举 例 来 说 ， 把 执行 定义 为 一 个 状态 和 转换 (或 者 其 标 
签 ) 的 交错 序列 ， 这 是 一 种 包含 更 多 信息 的 定义 版 本 。 我 们 将 在 后 面 给 出 一 些 例子 ， 在 这 些 例 子 
中 ， 这 种 模型 中 增加 的 信息 将 会 十 分 有 用 。 另 一 种 变 体 则 完全 忽略 状态 而 关注 转换 ， 将 执行 定义 
为 一 个 转换 序列 。 在 执行 的 各 方面 属性 中 ， 我 们 通常 感 兴趣 的 是 状态 问 的 发 展 变化 。 在 第 8 章 将 
要 讨论 的 进程 代数 中 ， 重 点 将 是 执行 的 转换 。 

上 述 关 于 执行 的 定义 可 以 用 一 个 调度 器 (scheduler) 来 描述 ， 这 个 调度 器 可 以 为 一 个 程序 产 
生 交 错 序 列 : 

A Scheduler 

Start from some initial state £ such that ES 回 ，Set s :一 也 

loop; if there is on enabled transition from s, goto extend. 

Pick up a transition ¢ that is currently enabled at s. 

Apply the transition ¢ to the current state s, 

obtaining a new current state s *=z(s). 
goto loop. 


extend: Repeat state s forever. 


这 个 调度 器 是 非 确 定 的 ， 因 为 它 必 须 首先 在 可 能 的 多 个 初始 状态 中 选取 一 个 。 此 外 ， 在 每 个 
状态 上 ， 需 要 选取 一 个 可 执行 的 转换 。 而 且 ， 可 能 有 多 于 一 种 的 选择 。 当 且 仅 当 没 有 更 多 的 可 执 
行 转换 时 ， 调 度 器 达到 其 最 后 指令 ， 该 指令 在 最 后 状态 上 无 限 重复 。 

以 上 调度 方式 有 一 个 微妙 的 问题 ， 即 调度 器 可 能 对 一 个 或 多 个 并 发 进程 存在 不 公平 的 现象 ， 
重复 地 忽略 这 些 进 程 的 可 执行 转换 ， 而 选择 其 他 的 进程 。 要 解决 这 个 和 问题， 我 们 可 以 在 调度 器 执 
行 中 加 入 一 些 称 之 为 公平 条 件 的 约束 。 这 个 问题 将 在 4. 12 节 中 讨论 。 

并 发 程序 通常 由 多 道 进程 组 成 ， 这 些 进程 问 通常 会 通过 一 些 诸如 共享 变量 、 同 步 或 异步 消 
息 传递 之 类 的 机 制 进行 交互 。 可 以 单独 地 为 每 个 进程 建 模 ， 之 后 使 用 一 些 合适 的 操作 符 将 它们 
合并 。 举 例 来 说 ， 我 们 可 以 为 每 个 进程 构造 一 个 本 地 的 状态 空间 ， 之 后 为 它们 定义 一 个 全 局 的 乘 
积 。 这 个 全 局 乘积 中 ， 每 个 状态 和 其 本 地 状态 的 集合 关联 ， 每 个 进程 关联 一 个 〈 在 通信 系统 中 ， 
消息 缓冲 中 的 值 ， 即 其 包含 的 消息 也 会 被 传输 ) 。 乘 积 中 的 每 个 转换 对 应 一 个 单 进程 中 的 转换 ， 
或 是 对 应 一 些 进程 间 的 同步 转换 〈 比 如 握手 通信 ) 。 

需要 注意 的 是 ， 我 们 并 没有 限制 一 个 转换 只 能 属于 单个 并 发 的 进程 。 实 际 上 ， 改 变 某 些 本 地 
或 全 局 变量 的 转换 通常 属于 某 个 特殊 的 进程 。 但 是 ， 一 些 转换 要 求 多 道 进 程 要 一 起 同步 。 举 例 来 
说 ,一 个 同步 通信 (例如 Ada 的 会 合 (rendezvous) WAD 需要 两 个 进程 同步 。 

和 多 道 程序 设计 模型 很 类 似 ， 交 错 模型 中 没有 任何 两 个 转换 是 同时 执行 的 。 在 这 个 模型 中 ， 
有 一 个 单独 的 时 间 线 ， 时 间 线 和 执行 所 有 进程 的 调度 过 程 相关 。 在 分 布 式 系 统 中 ， 存 在 着 真正 党 
义 上 的 同时 运行 。 此 外 ， 大 多 数 时 候 ， 并 没有 一 个 覆盖 整个 系统 的 全 局 状态 。 我 们 之 后 将 会 讨论 
偏 序 执行 模型 。 对 于 分 布 式 系统 这 是 一 个 更 加 现实 和 直观 的 执行 模型 ， 因 此 经 常 称 其 为 “真正 的 
并 发 "。 该 模型 允许 转换 在 存在 因果 关系 时 按 顺 序 执行 ， 而 在 转换 可 以 并 发 时 不 遵循 固定 的 顺序 
它 还 在 不 同 的 并 发 代理 〈 进 程 》 中 引 人 了 本 地 状态 。 原 子 转换 可 以 在 本 地 状态 上 执行 ， 也 可 以 在 
本 地 状态 组 合 上 执行 。 

转换 系统 是 程序 的 隐 式 表示 ， 就 像 程序 的 代码 一 样 。 为 了 分 析 程 序 ， 人 们 可 能 会 想 要 获得 其 
状态 空间 。 一 般 来 说 ， 并 不 总 是 需要 明确 地 构造 一 个 程序 的 全 部 状态 空间 的 表示 。 实 际 上 ， 只 有 
当 处 理 某 些 有 限 状 态 系统 时 ， 才 可 能 产生 状态 空间 。 用 于 有 限 状 态 系统 的 自动 程序 验证 通常 构 
造 程序 的 状态 空间 ， 并 且 用 图 论 中 的 算法 来 进行 分 析 ， 具 体 方法 将 在 6. 1 节 中 展示 。 但 是 ， 即 使 
是 这 样 ， 由 于 状态 空间 通常 会 很 大 ， 人 们 也 总 是 在 寻找 一 些 方法 以 避免 构造 全 部 的 状态 空间 。 
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4.5 转换 的 粒度 

建 模 中 最 常见 的 错误 之 一 和 选择 原子 转换 的 粒度 有 关 。 这 种 选择 是 很 微妙 的 。 当 转换 的 粒 
度 太 小 时 ， 例 如 在 门 电路 一 级 描述 转换 ， 则 这 些 描 述 包含 的 信息 量 超出 了 我 们 可 以 处 理 的 范围 。 
当 允 许 处 理 更 多 表示 每 个 状态 的 信息 时 ， 我 们 可 能 会 区 分 出 更 多 的 状态 ， 而 这 些 状态 的 数量 远 
远 超出 我 们 分 析 系 统 所 需要 的 数量 。 这 就 导致 了 状态 空间 爆炸 的 问题 ， 我 们 将 在 后 面 介绍 。 另 一 
方面 ， 如 果 选 择 的 粒度 过 大 ， 我 们 也 许 会 漏 掉 一 些 进 程 间 交互 或 是 系统 与 环境 交互 的 信息 ， 从 而 
导致 结果 无 法 覆盖 所 有 可 能 的 系统 行为 。 

为 了 证 明 选 择 合 适 的 粒度 级 别 的 困难 性 ， 让 我 们 考虑 这 样 一 个 例子 ， 两 个 进程 P, 和 P, 需 
要 在 某 个 满足 z 二 2 B. y=3 的 状态 上 执行 以 下 指令 : 

卫 ,: 工 :一 工 十 yi; P,: y:= y+ <; 

然后 ， 让 我 们 考虑 一 个 多 处 理 的 实现 ， 使 得 这 两 个 进程 在 一 个 单 顺 序 计算 机 上 共享 时 间 。 变 
量 z 和 y 分 别 存储 在 寄存 器 vl 和 x2 上 ， 且 使 用 的 机 器 可 以 计算 任意 两 个 寄存 器 的 和 并 且 把 结果 
存在 第 一 个 寄存 器 上 。 从 汇编 语言 的 角度 上 来 看 ， 我 们 可 以 获得 如 下 代码 ， 

P,; add rl,r2; P,; add r2,7r1; 

如 果 每 个 转换 表示 一 条 汇编 代码 指令 ， 那 么 根据 执行 这 两 种 加 法 的 执行 顺序 ， 我 们 会 获得 
两 种 可 能 的 执行 。 第 一 种 执行 会 先 将 ”2 的 值 3 加 到 rl 中 ， 得 到 结果 5， 之 后 把 这 个 新 的 值 加 到 
r2 上 ， 得 到 r=ri=5 和 y=r2=8. AMA I 36 rl 的 值 2 加 到 2 中 ， 得 到 结果 5， 之 后 
把 这 个 新 的 值 加 到 上 ， 得 到 c=rl=7 和 ?一 "2=5。 在 这 个 例子 中 ， 正 是 由 于 硬件 不 允许 两 个 
转换 同时 执行 而 导致 了 这 样 的 情况 。 

假设 现在 变量 A 和 B 存在 主 存 中 而 非 寄 存 器 中 ， 其 位 置 分 别 为 m100 和 m111。 汇编 代码 将 
会 是 如 下 形式 ， 








Pl: load r1,m100 P,: load r2,m111 
add rl,m111 add r2,m100 
store rl,m100 store r2,m111] 


如 果 每 个 转换 对 应 一 条 汇编 语言 指令 ， 则 有 20 种 执行 方式 。 其 中 某 些 交 错 方式 会 得 到 和 之 
前 例子 相同 的 最 终结 果 。 但 是 ， 这 个 例子 多 了 一 种 可 能 的 情况 。 以 下 的 序列 是 以 状态 和 转换 交错 
的 形式 表示 的 。 我 们 假设 寄存 器 ri 和 r2 的 初始 值 为 0。 
{r1 0,r2 > 0,m100 > 2,m111 > 3} 
load rl,m100 
{rl 2,r2 > 0,m100 > 2,m111 > 3} 
load r2,m111 
{r1 2,r2 > 3,m100K 2,m111 > 3} 
add rl,m111 
(rle 5472} 3,m100 H 2,m111 > 3} 
add 72,m100 
(riP5,r2 5,m100 > 2,m111b 3} 
store rl ,ml100 
(rl5,r2>5,m100-ƏS5,m111> 3} 
store r2,m111 
(rl>5,r2>5,m100>5,m111F> 5) 
在 这 种 情况 下 ， 最 后 zx 一 ml00 王 5，y 一 xl11=-5。 首先 这 两 个 变量 的 值 在 内 部 被 读 取 ， 之 后 相 加 ， 
最 后 再 存 回 主 存 中 。 如 果 我 们 在 系统 的 模型 中 选择 和 第 一 个 例子 一 样 的 粒度 ， 这 个 例子 是 和 加 法 的 高 
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级 抽象 一 致 的 ， 那 我 们 就 可 能 忽略 一 种 在 实际 汇编 指令 之 间 可 能 的 交互 情况 。 在 用 较 大 的 粒度 建 模 之 
后 再 验证 代码 ， 由 于 有 一 些 额外 行为 无 法 用 这 个 级 别 的 粒度 表示 出 来 ， 所 以 这 些 额外 的 行为 无 法 被 发 
现 ， 从 而 导致 错误 的 出 现 。 因 此 ， 即 使 错误 发 生 了 ， 验 证 程序 也 可 能 认为 没有 发 现 错误 。 

再 举 一 个 例子 ， 考 虑 一 个 用 更 大 粒度 实现 的 系统 ， 但 其 模型 对 应 于 上 述 较 细 的 粒度 级 别 。 那 
么 ， 模 型 中 就 会 包含 一 些 实际 代码 不 允许 的 行为 。 这 些 额 外 的 行为 可 能 是 错误 的 (在 上 面 的 例子 
中 ， 规 约 不 允许 工 积 y 的 值 在 执行 以 后 都 为 5)， 并 因此 被 形式 化 方法 工具 认为 是 反例 。 这 些 错 
误 的 警报 称 为 误 报 (false negative), 


4.6 为 程序 建 模 的 例子 

为 系统 建 模 是 使 用 形式 化 方法 的 一 个 重要 部 分 。 很 多 情况 下 ， 建 模 是 人 工 完成 的 。 由 于 不 同 
的 程序 ， 特 别 是 并 发 程序 ， 使 用 不 同 的 域 和 程序 构造 ， 所 以 并 没有 一 个 通用 方案 来 为 程序 建 模 。 
我 们 将 在 本 节 中 通过 为 一 些 类 型 的 程序 建 模 来 证 明 这 一 点 。 


4.6.1 整数 除法 


第 一 个 例子 是 一 个 顺序 的 程序 ， 该 程序 的 作用 是 计算 zl 的 值 除 以 z2 的 值 的 整数 除法 。 除 的 
结果 在 执行 的 最 后 存在 变量 yl 中 ， 而 余数 存在 y2 中 。 我 们 会 给 出 这 个 程序 的 完整 带 标签 版 本 。 

ml: yl :一 0; 

m2; y2t=a21; 

m3; while y22>= x2 do 

m4; yl :=y1l+1; 

m5: y2 := y2— xŠ 

m6; end 

首先 ， 我 们 需要 选择 合适 的 签 和 名。 程序 包含 了 变量 (yl, y2, zl, z2, pe), 功能 运算 符 “ 十 ” 
和 “一 ”， 以 及 关系 运算 符 “ 之 ”。 程序 还 包含 了 两 个 域 ， 自然 数 域 ， 以 及 一 个 有 限 的 标签 域 ， 即 
(901，1m2，1m3，1m4，mm5，mm6) 。 类 似 地 ， 我 们 可 以 用 整数 域 来 蔡 代 整数 。 我 们 还 可 以 把 标签 编码 为 自 
RH 1-6. BR yl, y2, cl 和 x2 可 以 被 赋予 自然 数 类 型 的 值 ， 而 pc 可 以 被 赋予 标签 类 型 的 值 。 功 
能 运算 符 和 关系 运算 符 在 自然 数 域 的 作用 和 其 对 应 的 数学 符号 相同 。 我 们 可 以 允许 对 变量 rl, 2, 
yl 和 2 的 自然 数 赋值 ， 这 是 对 以 上 程序 的 状态 集合 $ 建 模 的 一 种 方法 。 此 外 ,我 们 也 人 允许 从 集合 
(ml, m2, m3, m4, m5, m6} 中 选取 一 个 值 赋 给 变量 pc， 用 来 表示 程序 计数 器 。 满 足 初 始 状 态 条 件 
O :z22>0 A pc 三 ml 的 状态 即 为 初始 状态 。 

可 以 看 到 ， 并 非 所 有 S 中 的 状态 都 是 可 达 的 。 仔 细 观 察 程序 ， 我 们 可 以 看 到 一 些 变量 间 的 
联系 。 例 如 ， 当 pc 三 m4 的 时 候 ， 我 们 可 以 得 到 yl X22+y2=21, 这 样 的 联系 在 之 后 的 程序 验 
证 过 程 中 将 会 有 很 大 作用 。 但 是 ， 在 建 模 过 程 中 ， 人 们 可 能 会 使 用 一 个 比 实际 可 达 状 态 集合 更 大 
的 状态 空间 。 转 换 系 统 包含 了 标记 if(5，a ，es)， 其 中 5 是 一 阶 公式 ，e, 和 e ÆN. WRK 
值 为 TRUE， 则 该 标记 返回 值 为 a; WM b ME EAN FALSE, 则 该 标记 返回 值 为 e 。 

pe = ml — (pc, yl) := (m2,0) 
Pc = m2 — (pes y2) := (3,21) 
Pc = m3 — pc t= if (y2 Z= z2 ,má ,m6) 
be = m4 — (pc ,y1) t= (m5,y1 + 1) 
Pc = m5 — (pe, y2) += (m3, y2 — z2) 
为 程序 的 转换 建 模 还 有 其 他 的 选择 。 举 例 来 说 ， 可 以 用 一 对 状态 来 替代 第 三 个 转换 ， 每 个 状态 控 
制程 序 转向 不 同 的 程序 标签 ， 如 下 所 示 ， 
be = m3 A y2 Z= z2 — pc := m4 
be = m3 À y2< 22 — pe :== mb 
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根据 代码 可 能 会 运行 于 其 上 的 实际 机 器 的 配置 ， 我 们 也 可 能 对 于 可 存储 的 值 加 以 限制 。 实 
际 上 ， 对 于 本 程序 建 模 中 用 到 的 抽象 ， 其 中 程序 变量 的 值 为 任意 自然 数 ， 有 可 能 无 法 表示 一 个 男 
定 字 大 小 的 程序 的 某 些 实际 执行 : 如 果 一 个 变量 的 值 恰 好 超出 了 为 每 个 变量 分 配 的 固定 字 大 小 
所 能 表示 的 范围 ， 则 可 能 得 到 一 个 不 同 于 以 上 转换 集合 约定 的 行为 。 这 种 情况 下 ， 程 序 可 能 返回 
一 个 错误 消息 并 退出 ， 或 是 产生 某 些 无 法 预料 的 结果 。 进 一 步 观察 程序 ， 我 们 可 以 发 现 ， 这 种 湾 
在 的 问题 在 以 下 这 种 特殊 代码 中 绝对 不 会 发 生 : 一 旦 变量 zl 和 z2 的 初始 值 和 其 分 配 的 字 大 小 
相 丐 配 ， 则 其 他 变量 yl 和 y2 的 值 也 会 匹配 〈 假 设 每 个 变量 分 配 到 的 字 大 小 相同 ) 。 

以 下 是 一 些 可 能 的 解决 方法 : 

1. 忽略 字 大 小 的 问题 。 假 设 用 户 永 远 不 会 使 用 过 大 的 数字 。 由 于 使 用 这 种 模型 的 验证 并 不 
能 覆盖 使 用 过 大 数 的 情况 ， 因 此 用 户 需 要 自己 为 使 用 过 大 数 负责 。 

2. 为 可 能 发 生 的 值 溢出 建 模 。 这 样 做 可 能 要 修改 转换 集合 ， 使 其 能 接受 在 真正 的 计算 机 上 运 
行 此 代码 产生 的 错误 行为 。 举 例 来 说 ， 增 加 一 个 转换 ， 使 其 可 以 在 溢出 时 执行 ， 之 后 模拟 这 种 情 
况 下 计算 机 的 异常 处 理 行为 。 之 后 ， 验 证 一 个 抽象 层次 较 低 的 模型 ， 证 明 溢 出 情况 不 可 能 发 生 。 


4.6.2 计算 组 合 数 


下 一 个 程序 (该 程序 对 [92] 中 的 程序 做 了 轻微 的 改动 ) 计算 从 = 个 不 同 的 元 素 中 取出 上 个 
不 重复 的 数 的 所 有 可 能 组 合 的 数量 。 该 计算 使 用 如 下 公式 ， 
(*)= nX(n-1) XX (n—Ë+ 1) 
k 1 X 2 X +. X Ë 
该 程序 由 两 个 并 行进 程 组 成 。 左 边 的 进程 在 yl 的 值 处 于 nn 到 nn 一 & 十 1 的 范围 时 ， 对 分 子 进 
行 累 乘 计算 。 右 边 的 进程 在 y2 的 值 处 于 1 到 的 范围 时 ， 用 累 除 计算 分 母 的 值 。 在 执行 的 最 后 ， 
计算 结果 储存 于 y3 中 。 





ri : if y2 = k then halt 
r, : y2 :一 y2 + 1 
rs t await y2 <= n — yl 


Lt if yl = (n— Ë) then halt 
lz: y3 t= y3 X yl 


l : yl t= y] —1 
è r, : y3 := y3/y2 


l : goto L, ; 
. r; : goto r, 





初始 条 件 为 
O: yl=]n y2=0A wB=1A pe, =L A fF, 三 7 An>0Ak>0 
在 右边 的 进程 中 ， 标 记 为 r, 的 await 语句 使 得 标记 为 r, 的 语句 中 的 除法 运算 仅 在 当前 计算 
分 母 所 乘 的 数 大 于 要 除 的 数 时 才 执 行 。 这 保证 了 除法 能 够 产生 整数 的 计算 结果 且 不 带 余数 。 
我 们 使 用 的 一 阶 结构 包括 函数 符号 “X”、“ 十 ”、“ 一 ”、“/” 以 及 关系 符号 “ 委 ”( 和 程序 文 
本 中 的 <<= 符 导 相 对 应 ) 。 表 示 相 等 的 关系 符号 “二” 在 一 阶 逻辑 中 已 有 介绍 。 这 些 函 数 和 关系 
符号 的 作用 和 其 在 自然 数 域 中 对 应 的 数学 符号 相同 。 
程序 中 大 部 分 变量 的 值 域 都 是 自然 数 域 ， 除 了 变量 pc, Mpe, 这 两 个 变量 表示 的 是 程序 计 
数 器 。 变 量 pc, 的 值 域 为 标签 集 (L, s Ls halt), WER pc 的 值 域 为 (n, e, rey halt). 
执行 命令 hali 将 终止 进程 的 执行 。 集 合 中 的 特定 标签 halt, Ñ halt, 分 别 表示 左边 和 右边 的 进程 终 
止 时 程序 计数 器 的 值 。 该 程序 可 以 被 翻译 为 如 下 的 转换 集合 ， 
& t! pe, = L > pe, := ¿f (y1 = (n— k) shalt, L.) 
t © Pc, = > (pe; y3) := C1, ,y3 X yl) 
tt pe, = h — (pci syl) := CL, yi — 1) 
it pe, = ¿, — po, += L 
b i pe, = p, — pe, = if (y2 = kyhalt, sr) — 
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te: bc, = r, > (pe,,y2) t= (r, ,+y2 + 1) 

tt pe, Sry A y2 <ç n — y] — Pc, := r, 

te? bc, = r, — (pc, ,y3) := (rs, y3/y2) 

ty è pc, = r; > Pc, t= ri 

当然 ， 这 不 是 对 该 并 发 程序 建 模 的 唯一 方法 。 在 用 转换 集合 为 其 建 模 时 ， 我 们 假设 了 一 种 特 

别 的 粒度 。 当 然 ， 这 些 代码 也 可 以 被 翻译 成 不 同 的 转换 集合 ， 比 如 使 用 细致 粒度 。 特 别 需 要 考虑 
的 是 转换 ts 和 ts 。 这 两 个 转换 都 对 y3 进行 操作 。 和 4. 5 节 的 例子 类 似 ， 有 可 能 程序 被 翻译 为 机 
器 码 ， 机 器 码 首先 将 y3 的 值 读 人 内 部 寄存 器 ， 之 后 在 该 寄存 器 上 进行 计算 〈 分 别 计算 乘法 或 除 
法 )， 然 后 把 寄存 器 得 到 的 新 值 存 人 y3 。 这 样 的 话 ， 实 际 程序 就 存在 着 错误 ， 而 验证 假设 模型 有 
不 同 的 行为 。 因 此 ， 这 个 错误 可 能 就 无 法 被 发 现 。 


4.6.3 Eratosthenes {ik 


Eratosthenes J$ 3 (Sieve of Eratosthenes) 是 一 种 用 于 计算 素数 的 算法 。 在 其 并 行 版 本 中 ， 
有 一 个 最 左 进程 用 于 生成 整数 ， 整 数 范围 从 2 一 直到 某 个 上 限 P。 之 后 有 NN 个 中 间 进 程 ， 每 个 
用 于 保存 一 个 素数 。 第 i 个 进程 用 于 存储 第 i 个 素数 。 每 个 中 间 进 程 从 其 左边 的 进程 接收 数字 。 
其 第 一 个 接收 的 数字 是 一 个 素数 ， 这 个 素数 被 保留 在 接收 进程 中 。 之 后 的 数 将 参照 第 一 个 数 进 
行 检验 ,如果 从 左边 进程 传 过 来 的 数 能 被 第 一 个 数 整除 ， 则 这 个 数 不 可 能 是 素数 ， 因 此 这 个 数 被 
丢弃 ;和 否则， 该 数字 被 传递 给 右边 的 进程 。 这 种 做 法 使 得 非 素数 被 得 除 。 最 右边 的 进程 简单 地 接 
收 左边 进程 传 来 的 数 。 该 进程 保留 第 一 个 接收 到 的 数 〈 这 个 数 是 一 个 素数 ) ， 而 其 他 数 被 忽略 。 
这 种 做 法 使 得 在 最 左边 进程 产生 多 于 进程 数量 的 素数 时 ， 系 统 可 以 允许 数量 的 溢出 。 该 算法 用 
一 个 参数 化 的 方式 表述 ， 其 中 的 参数 P>1 E. N>0。 
命令 ch lexp 表示 表达 式 exp 已 经 被 计算 且 通 过 队列 ch 发送。 这 是 一 种 异步 发 送 ， 其 作用 是 
将 exp 的 值 加 入 到 队列 末尾 成 为 新 的 最 后 元 素 〈 如 果 队 列 未 满 )。 当 队列 ch 非 空 时 ， 标记 chloar 
可 以 被 执行 。 其 作用 是 将 第 一 个 《 即 最 早 的 一 个 ) 元 素 从 队列 ch 中 移 除 ， 并 将 其 赋值 给 变量 var。 
initially counter =2; 
leftproc :: loop 
ch1]! counter; 
counter * =counter+1 
until counter > P 
I} setenv 
middle procli]?? chLi]?myval; 
while true do 
chli] ?nextval 
if nextval mode myval 天 0 
then ch(it1]{nexrtvai 
end 
| 
rightproc :: chLN+1]}?biggest; 
while true do 
chL N+ 1]?next 
end . 
在 这 里 以 及 之 后 的 例子 中 ) 我们 将 不 再 装 述 为 程序 建 模 的 过 程 中 如 何 选择 标准 的 算术 运算 符 及 
关系 运算 符 及 其 表示 法 。 不 过 ， 我 们 在 这 个 程序 中 将 为 队列 建 模 。 我 们 用 自然 数列 表 来 表示 队列 。 为 
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了 用 转换 系统 给 该 模型 建 模 ， 我 们 定义 了 一 些 函 数 ， 这 些 函 数 将 帮助 我 们 描述 消息 队列 上 的 操作 。 
head; 返回 一 个 给 定 列表 的 头 部 ， 即 第 一 个 元 素 。( 如 果 队 列 为 空 ， 则 需要 人 为 定义 。) 

tail; 返回 一 个 给 定 列表 的 尾部 ， 即 除去 第 一 个 元 素 的 列表 内 容 。( 如 果 队 列 为 空 ， 则 需要 人 
HEX.) 

append， 该 函数 对 一 个 列表 和 一 个 元 素 进 行 操作 ， 用 该 元 素 加 入 列表 中 ， 使 其 成 为 最 后 一 
个 元 素 。 

列表 中 的 元 素 用 尖 插 号 插 住 ， 如 (5，4，?)。 空 列表 表示 为 ()。 

和 和 集合 类 似 ， 一 般 来 说 列表 需要 二 阶 逻 辑 表 示 。 不 过 ， 我 们 在 这 里 限制 了 列表 的 使 用 。 举 例 
来 说 ， 我 们 无 法 表示 某 些 值 属于 一 个 列表 〈 但 我 们 能 够 表示 某 个 值 在 列表 的 头 部 ， 更 一 般 地 说 ， 
对 每 个 确定 的 >， 我 们 可 以 表示 元 素 在 列表 的 第 n 个 位 置 )。 

这 里 还 需要 说 明 几 个 建 模 时 需要 注意 的 问题 。 这 个 例子 包含 了 一 些 参数 化 的 并 发 进程 ， 使 
用 了 N 个 中 间 进 程 和 NN 十 1 个 消息 队列 。 当 通信 队列 显 式 参数 化 时 ， 即 ch[ 让 ， 每 个 进程 拥有 自 
己 的 本 地 变量 myval 和 nextval。 因 此 ， 在 转换 系统 中 ， 就 有 N 个 版 本 的 这 些 变 量 分 别 和 mywval， 
XZ neztoal, 相关 。 为 了 将 这 些 代码 转变 为 转换 系统 ， 我 们 还 需要 为 程序 计数 器 变量 以 及 程序 位 置 
常量 起 新 的 名 字 。 这 些 和 名 字 也 是 参数 化 的 ， 它 们 和 中 间 进 程 的 数量 相关 。 需 要 注意 的 是 ， 
haltleft 的 位 置 对 应 左边 进程 的 终止 点 。 

bc, = 1 — (pe, ch) := (12,append (ch [ 1], counter)) 

pe, = 12 — (pc, counter) := (13, counter +1) 

be, = 139 — pe, += if (counter > P,haltleft,11) 
Pn, = ml; — Cpe,, »myval;,chli]) := (m2; shead (ch [i]) tail (ch[7])) 
Pem, = m2, — (pc, snextval;,chli]) := (m3, head (ch [i ]) , tail (ch[7])) 
Pom, = m3, — Pen, := if (nextval mod myval Æ 0,m4,,m2,) 
Pem, = mA, > (bc, sha.) := (m2;, append (chy, ,nextval,)) 

pe, = rl > (pc, ,ch[ N + 1],biggest) := 

Cr2 stail (chLN + 1]) head (ch[N+1])) 
pe, = r2 > (hEN + 1], next) := (tail(h[N+1]) ,head (ch[N+1])) 
初始 条 件 OX: 
ah[1] = O A A[2]= O A counter =2 A pe, =U A A ten = ml, A pe, = r1 


考虑 一 个 Eratosthenes MERAT, FH N=1 R. P=3, 当 该 程序 的 参数 特别 是 进程 的 数量 增长 
时 ， 该 例子 的 状态 空间 增长 得 非常 快 。 这 个 问题 称 为 状态 空间 爆炸 ， 这 也 是 自动 验证 的 主要 挑战 。 

该 例子 的 部 分 状态 的 赋值 :1 一 *10 列 在 如 图 4. 3 所 示 的 表格 中 。 我 们 用 一 个 特别 的 标记 上 来 
表示 未 初始 化 的 变量 。 这 也 是 为 系统 建 模 的 通常 做 法 。 这 些 状态 中 ， 每 个 状态 里 的 变量 biggest 和 























状态 | pa Pem pe, ch[ 1] ch 2] counter myval nextval 

sl il ml rl O O 2 L L 
s2 12 ml rl (2) O 2 

53 £2 m2 rl <} O 2 2 L 
s4 13 ml rl (2) O 3 L L 
s5 13 m2 rl > O 3 2 L 
s6 1 ml rl (2) O 3 L L 
s7 i m2 rl 《》 > 3 2 L 
s8 12 m2 rl (3) O 3 2 L 
s9 i2 m3 rl O O 3 2 3 
slo 13 m2 rl (3) O 4 2 L 








图 4.3 Eratosthenes 得 法 (N=1, P=3) 的 一 些 状 态 
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next 的 值 都 为 | ， 因 此 没有 在 表格 中 明确 列 出 。 由 于 只 有 一 个 进程 的 类 型 为 middle, RIES 
了 表格 中 状态 变量 pc 、myvali 以 及 nextval, 的 下 角 标 记 i。 


4.6.4 ER 


Dijkstra 是 最 先 关注 多 进程 系统 的 正确 性 问题 的 计算 机 科学 家 之 一 。 在 他 的 影响 深远 的 论文 
[37] 中 ， 他 和 准 述 了 如 何 通 过 互 斥 协议 的 临时 尝试 序列 来 合理 地 解决 进程 间 的 互 斥 问 题 。 在 这 个 
间 题 中 ， 两 个 (或 更 多 的 ) 进程 竞争 进入 一 个 临界 区 (critical section)， 即 它们 访问 某 个 互 斥 资 
源 的 代码 段 。 这 个 访问 过 程 必须 是 排他 的 。 举 例 来 说 ， 临 界 区 可 以 涉及 打印 。 显 然 ， 我们 不 能 让 
两 个 进程 同时 访问 同一 个 打印 机 。 

如 果 不 需 要 访问 临界 区 ， 则 一 个 进程 会 进行 任意 的 本 地 计算 ， 这 些 计算 位 于 非 临界 区 中 。 之 
后 ， 当 要 进入 其 临界 区 时 ， 该 进程 将 会 加 入 一 些 互 斥 协 议 。 此 并 发 协议 的 作用 是 保证 多 个 进程 在 
准许 其 中 一 个 进入 临界 区 前 无 法 访问 各 自 的 临界 区 。 当 进程 获取 了 访问 临界 区 的 权限 时 ， 该 进 
程 可 能 需要 再 次 加 入 “〈 另 一 部 分 ) 的 临界 区 协议 ,这 一 次 的 目的 是 为 了 允许 其 他 进程 进入 其 临界 
区 。 我 们 将 在 后 面 的 章节 中 形式 化 地 说 明 互 斥 问题 的 一 些 属 性 。 用 非 形式 化 的 语言 描述 ， 人 们 想 
要 达到 以 下 目的 ， 

° AFH Cexclusiveness): 任意 两 个 进程 都 不 能 同时 进入 其 临界 区 。 

° 活性 (liveness): 如 果 一 个 进程 想 要 进入 其 临界 区 ， 则 该 进程 能 在 有 限时 间 内 被 准许 

进入 。 

以 下 是 一 个 这 种 协议 的 临时 尝试 : 


boolean cl, c2 initially 1; 


Plt! ml? while true do P2 :: nl : while true do 
m2 * (* noncritical section 1* ) n2 : (° noncritical section 2” ) 
m3 : cl :=0; n3: c2: =0; 
m4 : wait until c2=1; nå : wait until c1=1; 
m5: C critical section 1*) nŠ : (* critical section 2* ) 
m6 : cl :=1 nô : c2 t=] 

end end 


我 们 假设 临界 区 和 非 临界 区 都 不 会 改变 变量 cl 和 c2。 我 们 可 以 用 以 下 的 转换 系统 来 表示 该 
算法 : 

= è? pe, = ml pe, t= m2 

T: t bc, = m2 > pe :一 m3 

Ts t bc, == m3 — (pe, ,cl) := (m4,0) 
Ti è pı = má A c2 = 1 — pe, t= m5 

Ts : pc, = m5 — pc, := m6 

Te * pe, = m6 — (pei scl) += Cm1,1) 

T è Pc, = n] — pe, := n2 

Te | Pc, = n2 — pe, t= n3 

T è Pc, = n3 — (pc: c2) t= (n4,0) 
Tio + pe, = nd A cl = ] — pc, t= n5 

Tu è pe, = n5 pe, t= n6 
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Tig | PC, = n6 — (Pc, , c2) := (1,1) 
初始 条 件 日 为 ， pci 三 ml 人 po =n] A cl 三 1Ac2 寺 1。 我 们 可 以 看 到 ， 在 转换 rs tss ra 和 zu 
中 ， 每 个 临界 区 和 非 临界 区 被 建 模 为 一 个 简单 的 转换 。 这 是 一 个 微妙 的 建 模 的 结果 ， 使 用 该 方法 
需要 仔细 考虑 。 在 模型 中 ， 这 些 临界 区 和 非 临界 区 总 是 会 终止 的 。 我 们 可 能 想 要 构造 一 种 可 能 
性 ， 使 得 这 些 区 域 从 不 终止 〈 理 论 上 来 说 ， 至 少 持续 到 下 次 电源 中 断 前 ) 。 这 就 需要 将 这 些 区 域 
改变 为 循环 模型 ， 该 循环 使 用 一 个 非 确定 的 选择 作为 出 口 。 举 例 来 说 ， 我 们 可 以 添加 以 下 转换 ， 
n = po, = m2 —> pe, += m2 
Ta = pc, = n2 — pe, t= n2 
这 些 转换 在 相同 的 程序 计数 器 的 位 置 上 循环 。 实 际 上 ， 我 们 通常 需要 该 算法 在 某 种 假设 下 工 
作 ， 该 假设 认为 用 = FH z 表示 的 非 临 界 区 能 够 永远 循环 ， 而 用 z 和 ni 表示 的 临界 区 最 终 会 终止 。 
这 就 导致 了 男 一 个 问题 .如果 一 个 非 临界 区 可 以 永远 执行 ， 那 么 它 是 否 会 永远 推迟 其 他 进 
程 的 所 有 转换 的 执行 ? 要 避免 这 种 调度 结果 在 数学 上 的 可 能 性 ， 我 们 需要 停止 进一步 的 考虑 ， 转 
而 形式 化 地 分 析 这 种 不 公平 的 交错 序列 。 这 也 是 4. 12 节 中 定义 公平 性 的 动机 。 
练习 4.6.1 为 互 斥 算 法 构建 有 限 状 态 空间 。 
练习 4.6.2 图 4.4 给 出 了 荷兰 数学 家 Dekker 对 于 互 斥 问题 的 解 。 将 Dekker 的 算法 翻译 为 
转换 系统 。 





boolean cl initially 1; 
boolean c2 initially 1; 
integer (1..2) turn initially 1; 
P1:: while true do P2:: while true do 
begin begin 
noncritical section 1 noncritical section 2 
ck =0; c2:=0; 
while c2 =0 do; while cl=0 do 
begin begin 
if turn=2 then if turn=1 then 
begin begin 
cl:=1; c2:=1; 
wait until turn=1; wait until turn=2 ; 
cl:=0; c2:=0 
end end 
end; end; 
critical section 1 critical section 2 
cl:=l; c2: =1; 
turn: =2 turn: =] 
end end 











图 4.4 Dekker 的 互 斥 解 


4.7 ” 菲 确 定性 转换 


在 我 们 之 前 的 定义 中 ， 使 用 转换 系统 为 软件 建 模 ， 每 个 状态 上 的 可 执行 转换 可 以 精确 地 获 
得 一 个 直接 的 后 继 状 态 。 因 此 ， 这 种 模型 中 的 转换 是 确定 的 。 这 不 表示 建 模 的 系统 是 确定 的 ， 有 
可 能 在 相同 的 状态 上 执行 不 同 的 转换 时 有 非 确 定性 的 选择 。 

但 是 ， 在 某 些 情况 下 ， 为 了 方便 人 们 也 会 考虑 使 用 非 确 定性 转换 ， 即 在 某 状态 上 执行 该 转换 
时 ， 会 有 多 于 一 个 的 可 能 后 继 状 态 。 举 例 来 说 ， 考 虑 从 用 户 处 获取 输入 的 情况 。 要 表述 这 种 情 
沈 ， 我 们 或 许可 以 将 每 一 个 可 能 的 输入 值 表 示 为 一 个 独立 的 转换 ， 或 者 为 了 方便 ， 我 们 可 能 选择 
用 一 个 单独 的 非 确定 性 转换 来 表示 ， 该 转换 集合 了 所 有 可 能 的 输入 。 
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要 表示 非 确 定性 转换 ， 我 们 需要 对 模型 的 定义 做 一 些 轻微 的 改变 。 以 前 ， 一 个 转换 包含 了 一 
个 可 执行 条 件 和 一 组 赋值 。 现 在 ,我 们 新 增加 一 个 变量 集合 V'， 该 集合 包括 了 V 中 的 每 个 程序 
ARPA BU E (EAR ZK. A, WE V= (z, z, s z), WV = (z, z, s z). HR, VIP 
的 变量 表示 程序 中 的 同名 变量 在 执行 转换 前 的 值 ， 而 V RAR EER RA. 
每 个 转换 t 现在 表示 为 一 个 一 阶 公 式 r,， 这 个 一 阶 公式 说 明了 程序 变量 在 执行 转换 前 后 的 关系 。 
因此 ， 当 我 们 可 以 对 集合 V 中 和 状态 s 相关 的 变量 赋值 ， 且 集合 V' 中 的 某 些 值 满足 转换 条 件 r, 
时 ， 我 们 认为 转换 上 在 状态 * 上 可 执行 。 要 用 转换 执行 之 前 的 变量 值 来 表达 转换 t 的 可 执行 条 件 ， 
可 以 用 以 下 公式 : 
Jri Jary 3 zr, 
需要 注意 的 是 ， 在 对 V' 中 的 所 有 自由 变量 的 存在 性 量化 之 后 ， 可 执行 条 件 只 包括 了 V 中 的 
自由 变量 。 
考虑 如 下 情况 ,将 变量 V 二 {x，y) 上 的 非 确 定性 转换 用 如 下 公式 表示 ， 
z>yAa'=a24+1 
这 样 我 们 可 以 得 到 V'= {x ，y'}。 程 序 变量 的 域 为 整数 域 。 我们 可 以 将 转换 的 可 执行 条 件 
3z 3y(z>yAz xt) 简化 为 zx>?。 此 转换 的 作用 是 增加 变量 z 的 值 。 因 为 转换 未 对 
> 做 任何 限制 ， 所 以 y' 可 以 为 任意 值 。 也 就 是 说 ,我 们 可 以 从 用 户 处 获取 任意 整数 值 赋 给 
2 。 如 果 这 样 做 不 符合 程序 的 意图 ， 而 实际 上 > 的 值 不 发 生 改 变 ， 则 我 们 必须 将 转换 的 公式 
表示 为 : 
z>y Az =zr+1lAy =y 
这 是 一 个 确定 人 性 转换 ， 我 们 可 以 用 以 前 的 标记 来 表示 该 转换 ， 
x> y— z:= z+1 


使 用 非 确定 性 转换 的 形式 ， 我 们 仅 使 用 一 个 一 阶 公式 ， 即 可 充分 地 表达 所 有 可 能 的 转换 。 特 


IE Bn ro =o re GEM) 转换 公式 ， 则 我 们 可 以 用 一 个 公式 o= Var 来 表达 
所 有 的 公式 。 


4.8 将 命题 变量 赋 给 状态 


我 们 常常 用 形式 化 命题 来 为 有 限 状态 系统 设置 属性 断言 。 为 了 将 形式 化 命题 用 于 系统 建 模 ， 
需要 将 规约 中 用 到 的 命题 和 待 建 模 系统 的 状态 集合 SAREK. Bit AP 是 一 个 有 限 的 命题 变量 
(有 了 时候 ， 我 们 称 其 为 原子 命题 〉 集 合 。 每 个 这 样 的 变量 表示 某 个 待 建 模 系 统 的 国有 属性 ， 它 可 
能 属于 或 不 属于 系统 的 任意 状态 。 每 个 状态 可 以 被 映射 到 其 包含 的 命题 子 集中 。 

形式 上 ， 我 们 用 2 来 表示 AP 的 所 有 子 集 (包括 AP 本 身 以 及 空 集 2)， 我 们 可 以 定义 一 个 
标签 函数 Lp : S->24 ， 该 函数 将 S 中 的 每 个 状态 映射 到 其 包含 的 命题 子 集 上 。 我 们 可 以 将 这 种 
带 标签 的 转换 系统 表示 为 (S，A, I, Lp, 24), 

同样 ， 每 个 状态 也 可 以 被 看 成 是 一 种 布尔 赋值 ， 将 真 值 赋 给 AP 中 的 命题 。 如 果 一 个 命题 p 
AY Les), JH s 383848 TRUE RA p; BU, RAA FALSE, g, 在 前 一 种 情况 下 ，* 上 FF p; 在 
后 一 种 情况 下 ，* 片 ~。 这 就 给 出 了 Ls 的 另 一 种 定义 ， 即 一 种 将 状态 和 命题 映射 到 真 值 TRUE 和 
FALSE 上 的 函数 ， 这 种 定义 和 前 一 种 定义 等 价 。 我 们 可 以 这 样 重新 定义 工 ， (SX AP)—>{TRUE , 
FALSE}, 

对 于 Ls， 还 有 另 一 种 等 价 定义 ， 我们 可 以 把 AP 中 的 每 个 命题 映射 到 包含 该 命题 的 状态 子 
集 上 ， 重 定义 为 L; : AP 一 25 。 这 三 种 定义 都 是 等 价 的 ， 在 与 形式 化 相关 的 书籍 中 也 都 会 使 用 。 

状态 的 标签 需要 反映 命题 的 一 些 概念 意义 。 因 此 ， 如 果 一 个 命题 ye 关联 的 情况 为 交通 信号 
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灯 中 的 黄 灯亮 ， 则 命题 ye 需要 被 精确 地 映射 到 反映 该 情况 的 状态 中 。 命 题 到 状态 的 不 正确 映射 
的 后 果 ， 是 检验 结果 可 能 变 得 无 意义 。 状态 | a 

举例 来 说 ， 让 我 们 考虑 4. 6 节 中 的 得 法 程序 的 状态 。 假 n TRUE 
设 我 们 希望 为 程序 设置 的 断言 属性 是 左边 进程 的 程序 计数 器 33 TRUE 
是 否 是 2, HARA hAl] 是 否 非 空 。 我 们 可 以 使 用 命题 s4 FALSE 
at_l2 和 nonempty_chl。 我 们 需要 一 种 方法 来 给 状态 做 标记 ， 6 FALSE 
使 状态 标签 和 其 行为 相关 。 在 图 4.5 中 ， 我 们 为 状态 sl~ 57 FALSE 

















10 做 了 一 种 映射 。 读 者 可 以 将 其 和 图 4. 3 中 的 相关 表格 作 | 3 | TRUE 
对 比 。 s10 FALSE 
需要 注意 的 是 ， 多 个 状态 可 能 拥有 完全 相同 的 命题 标 图 4.5 图 4.3 中 状态 的 命题 什 


签 。 这 说 明了 状态 标签 可 能 没有 完全 包含 状态 的 相关 信息 。 不 过 ， 它 可 能 包含 了 足够 用 于 验证 的 
信息 。 因 此 ， 试 着 把 映射 到 相同 命题 值 的 状态 合并 ， 有 可 能 造成 错误 。 


4.9 合并 状态 空间 


我 们 可 以 从 转换 系统 中 获取 状态 空间 。 它 可 以 表示 被 建 模 系统 的 全 局 状态 ， 以 及 状态 之 间 
的 转换 。4. 4 节 中 定义 的 转换 系统 包含 了 所 有 构成 系统 组 件 的 转换 。 先 构造 不 同系 统 组 件 的 本 地 
状态 空间 有 时 候 更 有 利 。 举 例 来 说 ， 一 个 组 件 可 以 是 一 个 并 发 进程 ， 或 者 甚至 是 单个 变量 。 之 
后 ,我 们 可 以 通过 合并 不 同 组 件 来 获得 全 局 状态 变量 。 

考虑 对 转换 系统 的 定义 做 一 个 扩展 ， 用 一 些 本 地 组 件 ，…，T, 来 构造 转换 集合 下。 每 个 
转换 集合 中 的 T, 对 应 计算 的 一 个 组 件 ， 并 表示 诸如 一 个 并 发 进程 、 一 个 共享 变量 ， 或 是 一 个 进 
程 间 遂 信 队 列 。 

此 外 ， 我 们 为 每 个 状态 集合 T 保留 了 一 个 转换 名 集合 2, 和 一 个 标签 函数 工 , : TX. KR 
数 是 一 个 双 射 。 这 样 的 一 个 扩展 转换 系统 并 不 是 转换 系统 的 一 个 转换 工 的 简单 部 分 。 特 别 的 ， 
它 是 典型 的 属于 不 同 集合 的 转换 ， 如 T, 和 Ti ， 但 是 被 标记 为 同名 的 情况 。 

被 标记 为 相同 名 字 的 转换 总 是 在 相同 时 间 被 一 起 执行 。 形 式 上 ， 对 于 每 个 全 局 状态 s R 
们 可 以 用 一 个 共享 名 d 来 执行 所 有 ;上 的 可 执行 转换 ( 即 对 所 有 转换 :有 LOD, AT 
转换 的 效果 是 同时 执行 转换 上 的 赋值 操作 。 因 此 ， 如 果 我 们 有 两 个 转换 a 和 8， 其 中 4: p> 


Cul» eey vw ) t= (er ores eas B: b > Co 5 ney va) :一 (ef， En) ( 且 没 有 其 他 转换 共享 
RATS), WRT ATU s F< p, A ps 的 情况 下 从 SEHR a 和 8。 这 样 ， 我 们 可 以 通过 在 s 
上 使 用 一 个 多 重 赋值 Cds “5 Uns ut wees Un) :一 (ed ，…， Ens el» wens en) 来 获得 一 个 新 


假设 我 们 可 以 用 一 个 和 某 个 本 地 组 件 T, 相关 的 本 地 状态 空间 G, 一 (S;， 5 ，A,，I〉 来 表达 
系统 的 每 个 组 件 。 我 们 将 提供 一 种 方法 来 通过 合并 不 同 组 件 的 本 地 状态 空间 获取 全 局 状态 空间 。 
我 们 假设 不 同 组 件 的 本 地 状态 集合 S 是 不 相交 的 ， 但 转换 名 集合 X. 可 能 有 非 空 交集 。 如 果 相 同 
的 转换 名 a 同时 出 现在 Z, MS, 中 ， 则 组 件 G; AG, 在 执行 a 的 时 候 需 要 同步 。 执行 这 样 一 个 共 
部 转换 (mutual transition) ， 可 以 同时 修改 两 个 组 件 的 本 地 状态 。 当 一 个 组 件 表示 一 个 进程 ， 而 
男 一 个 组 件 表示 变量 时 ， 这 样 的 合作 可 能 和 两 个 进程 间 的 消息 交换 相关 ， 或 是 和 变量 值 的 使 用 
或 更 改 相关 。 当 然 ， 一 个 共享 转换 可 以 被 两 个 以 上 的 组 件 共 享 ， 但 是 这 种 情况 在 为 软件 建 模 的 过 
程 中 比较 少见 。 如 果 一 个 转换 的 名 称 仅 出 现在 一 个 单独 的 本 地 组 件 中 ， 我 们 称 之 为 本 地 转换 。 

我 们 需要 一 个 操作 符 “。” 来 合并 本 地 状态 空间 。 要 合并 一 对 本 地 状态 空间 G: ° Gs RMI 
可 能 希望 其 满足 一 定 的 条 件 ， 例 如 ， 
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交换 律 G, ° G; =G; ° Gi 
Ha (G ° Gi) ° G,= G, ° (G; ° G) 
举例 来 说 ， 这 些 条 件 意 味 着 以 下 代码 段 的 行为 是 相同 的 : 


parbegin parbegin parbegin 
parbegin parbegin P2 :: ... end P2 
P1:: ... end P1 P2:: ...end P2 parbegin 
P2 :: .... end P2 Pl::...end Pl Pl::...end Pi 
parend parend P3::...end P3 
P3::... end P3 P3:: ... end P3 parend 
parend parend parend 


我 们 定义 一 个 出 步 合并 操作 符 “|| ”作为 操作 符 “。” 的 一 个 可 能 实例 ， 用 来 合并 本 地 状态 空间 。 
这 个 异步 合并 与 交错 语义 一 致 ， 表 示 不 同 组 件 的 本 地 转换 是 交错 的 ， 即 以 某 个 任意 顺序 一 一 排列 。 

假设 对 于 i=1, 2, AG=(S,, X Ao L). ES G. || G,=¿(S, X, A, D WF: 

。 S=S, XS:。 每 个 合并 的 状态 由 一 对 状态 组 合 而 成 ， 其 中 一 个 是 G 的 本 地 状态 ， 一 个 是 
G, 的 本 地 状态 。 f 

。 Z=Z, UXx,, 3238441348] F G, 的 转换 名 和 属于 G, 的 转换 名 。 (同时 属于 G MG, (Bh 
BFS) 的 转换 名 也 属于 该 并 集 。) 

. 转换 集合 4 由 以 下 三 个 集合 合并 得 到 : 
a) (((s, r), as C, D |C, as SEAE \3,ArES,), 这 种 情况 下 ， 组件 G, 
发 生变 化 ， 而 组 件 G, 保持 不 变 。 
b) (((s, r), 8, Gs, 7')) |(r, 8, =€ A ABPES\ DAsES). 这 种 情况 下 , AEG, 
发 生变 化 ， 而 组 件 G 保持 不 变 。 
c) (((s, Dr Z, Cy D|, ry sD€A AG. ys EA). 这 种 情况 下 ， 两 个 组 件 同 
步 ， 并 一 起 执行 转换 。 

”I 二 XI。 合并 的 每 个 本 地 状态 由 一 对 本 地 初始 状态 组 成 ， 每 个 初始 状态 分 别 来 自 每 个 组 件 。 

图 4. 6 是 两 个 本 地 状态 空间 的 异步 合并 的 例子 。 


需要 注意 的 是 ， 在 硬件 中 ， 合 并 状态 空间 通 党 A A 
使 用 一 种 不 同 的 方式 : 在 执行 的 每 一 步 ， 每 个 可 执 
行 转换 的 组 件 产生 一 个 转换 ， 全 部 在 一 步 完成 不 "| | a 
考虑 转换 名 )。 因 此 ， 前 文中 的 异步 合并 操作 符 ”( 引 A 
“|| ”并 不 是 合并 操作 符 “。” 的 唯一 选择 。 

从 本 地 状态 空间 组 合 一 个 全 局 状态 空间 有 很 多 图 和 .5 两 个 本 地 状态 空间 和 它们 的 异步 合并 
优点 。 首 先 ， 这 种 做 法 为 给 系统 建 模 提供 了 一 个 模块 化 的 方法 ， 使 得 人 们 可 以 分 别 注意 每 个 组 
件 。 这 么 做 提供 了 一 种 系统 更 加 直觉 化 的 表示 ， 保 持 了 系统 的 原始 结构 。 这 种 做 法 还 可 以 用 来 组 
合 系统 的 规约 ， 使 其 相对 于 一 个 巨大 的 全 局 规约 更 易 理解 。 最 后 ， 一 些 软 件 可 靠 性 方法 可 以 利用 
这 种 模块 化 。 例 如 ， 某 些 情况 下 ， 规 定 、 测 试 和 验证 系统 的 本 地 组 件 更 加 容易 。 


4.10 线性 视角 


研究 所 有 从 初始 状态 开始 的 执行 序列 ， 是 我 们 观察 系统 行为 的 一 种 方法 。 从 系统 的 角度 来 
说 ， 我 们 总 是 希望 每 个 交错 操作 能 满足 其 期 望 的 规约 。 一 个 规约 可 以 表示 一 个 允许 交错 序列 集 
合 SP， 这 个 序列 集合 可 以 由 形式 化 规约 给 出 。 (我 们 将 在 第 5 章 看 到 这 样 的 形式 化 规约 .) 因此 ， 
如 果 一 个 程序 P 的 执行 集合 为 EP， 那 么 我 们 要 求 EPS SP. 如 果 存 在 程序 的 一 个 执行 不 属于 
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SP， 那 么 这 个 规约 是 有 冲突 的 。 这 一 点 可 以 通过 如 图 4.7 所 示 的 Venn 图 证 明 。 








交错 序列 交错 序列 























图 4.7 执行 和 规约 之 间 的 关系 


根据 线性 视角 ， 我 们 没有 考虑 不 同 执行 间 的 关系 。 特 别 要 说 明 的 是 ， 我 们 不 关心 是 否 两 个 有 
相同 前 缀 的 交错 操作 由 于 一 些 非 确 定性 选择 而 在 执行 中 的 某 些 点 产生 差异 。 采 用 交错 视角 的 原 
因 是 因为 每 次 程序 执行 时 ， 我 们 都 希望 其 满足 规约 。 如 果 有 非 确定 性 选择 的 影响 ， 我 们 想 要 保证 
无 论 系统 做 何 种 选择 ， 执 行 总 是 能 满足 规约 。 


4. 11 分 支 视角 

我 们 可 以 从 另 一 个 视角 来 研究 系统 的 行为 。 选 取 一 个 初始 状态 *E TI， 考虑 从 该 状态 开始 展开 
的 状态 空间 。 这 人 么 做 我 们 可 以 获得 一 棵 〈 可 能 是 无 穷 的 ) 树 ， 其 节点 是 根据 状态 空间 G 中 的 相 
应 状态 标记 的 。 树 中 的 每 个 从 :开始 的 最 大 路 径 和 程序 的 一 个 执行 相关 。 如 果树 中 的 一 个 节点 s 
有 多 个 后 继 ， 则 程序 在 * 进行 一 个 非 确定 的 选择 。 当 然 ， 如 果 程 序 有 多 于 一 个 的 单 初始 状态 ， 则 
我 们 可 以 看 到 多 个 分 支 树 。 

分 支 语 法 允许 人 们 观测 程序 中 需要 进行 选择 的 部 分 。 计 算 树 逻 辑 (Computational Tree Log- 
icy CTL) [42] 是 一 种 标准 的 形式 化 规约 。 它 允许 人 们 从 树 中 的 一 个 给 定 的 状态 描述 ， 该 描述 
可 以 是 某 些 方式 的 所 有 执行 行为 ， 或 是 对 于 某 给 定 方式 存在 一 些 执行 行为 。 相 对 于 交错 视角 ， 分 
支 视角 包含 更 多 信息 ， 因 为 人 们 可 以 通过 忽略 某 些 存在 非 确定 选择 的 点 来 从 分 支 视 角 获 得 交错 
视角 。 

分 支 视角 的 重要 性 在 于 ， 我 们 可 以 说 明 系统 能 够 做 选择 。 如 果 系 统 需 要 和 另 -个 系统 或 是 
用 户 交互 ， 则 选择 的 可 能 性 就 显得 非常 重要 。 考 虑 一 个 自动 售 货 机 的 例子 ， 该 售 货 机 的 每 个 物品 
价格 为 60 美 分 。 重 要 的 不 仅仅 是 每 次 当 投 人 合适 数量 的 钱 时 机 器 会 给 出 一 个 零食 。 对 顾客 而 言 ， 
他 们 感 兴趣 的 是 如 果 投 和 足够 数量 的 钱 ， 就 可 以 在 所 有 库存 的 零食 中 做 出 选择 。 

我 们 需要 什么 样 的 选择 分 支 信息 是 很 微妙 的 。 尽 管 直 觉 上 我 们 需要 保证 自动 售 货 机 允许 用 户 
选择 ,但 是 有 些 人 可 能 会 认为 ， 我 们 并 不 需要 使 用 系统 分 支 化 展开 后 获得 的 所 有 信息 。 因 为 对 于 
每 个 点 ， 只 有 当下 的 选择 ， 或 是 从 转换 系统 角度 来 说 的 可 执行 转换 ， 才 是 人 们 关心 的 。 因 此 ， 同 
样 保持 了 每 个 节点 的 可 执行 转换 信息 的 交错 序列 在 这 种 情况 下 已 经 足够 。 更 复杂 的 系统 和 环境 间 
的 接口 可 能 包括 了 多 级 交互 。 有 些 情况 下 ， 我 们 需要 更 明确 区 分 系统 的 行为 和 接口 的 行为 [7]. 

关于 线性 视角 和 分 支 视角 这 两 种 范式 ， 有 很 多 的 争论 。 以 下 的 争论 和 上 述 自 动 售 货 机 的 例 
子 类 似 ， 有 些 研究 人 员 进 行 了 区 分 ， 他 们 认为 ， 对 于 封闭 系统 ， 即 不 和 环境 交互 的 系统 ， 可 以 先 
择 使 用 交错 视角 ， 而 对 于 开放 系统 ， 即 提供 了 各 种 交互 行为 的 系统 ， 应 该 使 用 分 支 视角 。 

线性 视角 和 分 支 视角 的 区 别 可 以 进一步 细 化 。 并 发 理论 领域 特别 是 进程 代数 领域 ， 的 研究 
人 员 区 分 了 不 同 的 分 支 模型 。 这 些微 妙 的 区 别 将 在 第 8 章 中 讨论 。 该 章 将 证 明 选 择 正确 的 模型 和 
合适 的 标准 来 对 比 不 同 的 系统 模型 是 很 微妙 的 ， 取 决 于 我 们 希望 对 所 建 模 系 统 的 行为 观测 的 
角度 。 
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4.12 ”公平 性 

公平 性 (fairness) 一 般 用 于 指 在 并 发 系统 的 交错 执行 上 施加 的 语法 限制 。 要 讨论 公平 性 ， 
让 我 们 考虑 以 下 程序 ， 该 程序 有 两 个 并 发 进程 P 和 P, ， 两 个 进程 永久 执行 ， 且 相互 间 从 不 交互 
(通过 共享 变量 或 消息 交换 ) 。 表 示 程 序 执行 的 交错 序列 是 一 个 由 两 个 进程 的 状态 组 成 的 无 限 序 
列 ， 其 中 每 个 状态 是 通过 其 前 任 状 态 执行 P 或 P, 中 的 转换 得 到 的 。 因 为 两 个 进程 闻 没 有 交互 ， 
而 且 两 个 进程 都 永久 执行 ， 所 以 P. 和 P, 总 是 有 可 执行 的 转换 。 每 个 交错 序列 中 ， 在 每 个 状态 
上 ， 总 是 能 够 选择 执行 P. 上 的 转换 或 P, 上 的 转换 。 

我 们 可 以 在 4. 4 节 介 绍 的 调度 器 中 发 现 一 个 微妙 的 缺陷 .在 所 有 可 能 的 执行 序列 中 ， 有 一 些 
进程 的 可 执行 转换 会 被 永久 推迟 。 对 于 前 文 提 到 的 程序 ， 调 度 器 可 能 在 某 些 点 仅 选 择 执行 已 上 
的 转换 ， 或 是 仅 执行 P, 上 的 转换 ， 尽 管 两 个 进程 中 的 转换 都 是 可 执行 的 。 

在 多 道 程 序 设 计 的 情况 下 ， 这 相当 于 一 个 错误 的 调度 器 。 实 际 的 调度 器 会 在 进程 抢占 关键 
资源 前 限制 其 执行 的 时 间 片 。 在 多 处 理 情况 下 ,缺少 进程 间 的 交互 使 得 每 个 进程 可 以 以 各 自 的 
速度 运行 。 因 此 ， 为 了 真实 地 表示 程序 的 行为 ， 每 个 执行 需要 为 每 个 进程 包括 一 个 无 穷 数 量 的 转 
换 〈 当 然 ， 也 可 以 是 一 个 进程 终止 ， 而 其 他 进程 继续 ) 。 使 用 4.4 节 的 调度 器 ， 这 一 点 是 无 法 保 
证 的 ; 该 调度 器 还 会 产生 永远 忽略 某 进程 的 可 执行 转换 的 执行 。 

要 对 执行 进行 确切 的 分 析 ， 我 们 需要 考虑 实际 使 用 的 调度 器 ， 或 是 相关 的 处 理 器 的 速度 。 
这 显然 是 不 实际 的 。 我 们 不 喜欢 使 用 如 此 层次 的 细节 来 建 模 ， 就 像 我 们 不 希望 从 晶体 管 或 是 门 
电路 层次 来 解释 程序 的 转换 一 样 。 此 外 ， 这 样 的 分 析 会 导致 模型 过 于 具体 。 将 我 们 的 测试 或 验 
证 方法 建立 在 如 此 具体 的 模型 上 会 导致 我 们 每 次 使 用 不 同 的 操作 系统 或 是 硬件 组 件 时 都 要 重复 
进行 分 析 。 通 常 ， 我 们 分 析 系 统 是 希望 其 可 以 运行 在 范围 广泛 的 机 器 上 ， 而 不 是 一 台 特 殊 的 
机 器 。 

公平 性 假设 是 用 来 排除 对 于 我 们 建 模 的 系统 的 体系 结构 不 合理 的 无 限 执行 。 举 例 来 说 ， 人 
们 可 能 希望 通过 公平 性 来 阻止 仅 人 允许 P, GR PL) 执行 有 限 次 。 形 式 化 方法 中 有 很 多 不 同 的 公平 
性 假设 。 以 下 将 列 出 一 些 。 对 于 以 下 的 定义 ,我 们 需要 重点 区 分 被 执行 的 状态 和 转换 。 因 此， 我 
们 假设 对 执行 的 描述 中 ， 每 对 状态 间 执 行 的 转换 包含 一 个 明确 的 指示 ( 即 名 字 )、 

弱 进 程 公平 性 。 如 果 一 个 执行 包含 某 状 态 *， 且 总 有 至 少 一 个 属于 进程 P. 的 转换 可 执行 但 在 

s 之 后 没有 P; 的 转换 被 执行 ， 则 排除 此 执行 。(P, 的 可 执行 转换 可 以 在 状态 间 改 变 ,) 

强 进程 公平 性 。 如 果 在 一 个 执行 上 进程 P, 的 转换 可 以 被 执行 无 限 次 ， 但 仅 被 执行 有 限 次 ， 


则 排除 此 执行 。 

缮 转换 公平 性 。 如 果 一 个 执行 包含 菜 状 态 *， 且 总 有 一 个 转换 可 执行 但 从 未 在 s 后 被 执行 ， 
则 排除 此 执行 。 

强 转 换 公 平 性 。 如 果 在 一 个 执行 上 有 一 个 转换 可 以 被 执行 无 限 次 ， 但 仅 被 执行 有 限 次 ， 则 排 
除 此 执行 。 


公平 性 定义 的 多 样 性 给 我 们 提出 了 一 个 问题 ， 即 如 何 选择 我 们 需要 的 定义 。 这 实际 上 取决 
于 我 们 想 要 建 模 的 系统 的 特性 。 一 种 调度 器 可 能 符合 一 种 公平 性 假设 ， 而 其 他 的 调度 器 又 可 能 
需要 不 同 的 假设 。 需 要 注意 的 是 ， 调 度 器 和 公平 性 假设 相关 ， 意味 着 所 有 调度 器 允许 的 执行 是 公 
平 的， 但 反之 不 正确 。 实 际 上 ， 对 于 很 多 公平 性 假设 (包括 前 文 列 出 的 这 些 )， 人 们 可 以 在 数学 
上 证 明 : 在 没有 提供 特别 的 方法 以 产生 真 随机 数 的 情况 下 ， 要 构建 一 个 允许 完全 公平 执行 的 调 


` 度 器 是 不 可 能 的 [11，47]。 


要 证 明 这 一 点 以 及 前 文 提 到 的 一 些 公平 性 条 件 ， 让 我 们 考虑 一 个 包含 进程 P 和 P, 的 
程序 ， 
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P, :z:=1; || P, ::whiley = 0 do 


[no_o P 


{l 
ifx = 1 then y += 1] 
end i 
我 们 假设 这 些 进程 有 一 个 共享 变量 z， 其 初始 值 为 0。 进程 已 还 有 一 个 本 地 变量 y， 其 初始 
值 也 为 0。 我们 构造 了 新 的 名 称 pc, 和 pc, 作为 程序 计数 器 。 出 现在 方 括号 中 的 操作 符 “ C1” R 
示 一 个 非 确定 性 选择 。 因 此 ， 进 程 P, 可 以 在 一 个 no_op 和 一 个 if 语句 间 选 择 。 我 们 允许 pc, 的 
ÈA l All, pc 的 值 为 r。 和 xr, 。 我 们 用 以 下 转换 为 这 个 程序 建 模 : 
to © pe, = ha —— (pc, z) := (L ,1) 


ht pe, =r À y = 0— Pc, t= r, 





t, : pc, == r, > Pc, *= ro 
tt pe, =r A z = 1] —— (pe, y) := (r, 1) 
初始 条 件 为 8: zx 二 0 A y=0 A pc 三 4 Ape =n. AARE P, 使 用 一 个 转换 t 进行 建 模 ， 该 转 
换 将 变量 z 的 值 置 为 1。 之 后 该 进程 的 程序 计数 器 置 为 i ， 在 该 状态 下 没有 可 执行 的 转换 。 因 此 
P, 在 单独 执行 六 后 终止 。 进 程 P, 通过 三 个 转换 建 模 。 转 换 a 表示 主 循环 的 头 部 。 该 转换 检验 y 
是 否 等 于 0。 如 果 相 等 ， 执 行进 行 到 一 个 包含 非 确定 性 选择 二 At 的 点 。 转 换 志 是 一 个 no_op 语 
句 。 其 作用 是 回 到 主 循环 的 头 部 。 转 换 t 检验 x 是否 为 1， 车 是 则 将 y 置 为 1， 之 后 回 到 主 循环 。 
进程 P, 不 断 执行 转换 t Mn, EA P, 上 的 转换 o 将 z 的 值 变 为 1。 

弱 转 换 公平 性 〈 以 及 类 似 的 弱 进 程 公平 性 ) 排除 了 一 类 执行 ， 即 进程 P, 不 断 地 执行 和 
为 ， 且 永远 不 允许 同时 仅 有 可 执行 的 进程 P, 继续 执行 。 注 意 ， 在 进程 P 上 的 转换 ¿ 执行 前 ， 
转换 & 不 会 变 为 可 执行 转换 。 现 在 ， 考 虑 P. 执行 其 仅 有 的 转换 的 情况 。 执 行 后 z 置 为 1。 这 种 
情况 下 ， 转 换 4 和 交替 的 转换 对 所 和 点 变 为 可 执行 的 。 为 了 使 进程 P, WER IL, BMD 
须 被 执行 ， 将 y 置 为 1。 

弱 转 换 公平 性 不 保证 终止 性 ， 因 为 在 任何 执行 中 ,i 在 任何 状态 下 ,永远 都 不 会 连续 可 执 
fT. KRE, BK. MAITE, t 变 得 不 可 执行 。 强 (或 弱 ) 进程 公平 性 也 不 保证 ts 会 被 执行 。 
它 允 许 在 两 个 转换 同时 可 执行 的 情况 下 ， 总 是 选择 转换 r TIE. 

在 强 转换 公平 性 下 ， 所 有 进程 都 能 终止 。 转 换 i 像 之 前 一 样 能 保证 执行 ， 终 止 进程 P, JE 
外 ， 在 执行 六 之后， 如 果 未 被 执行 ， 则 进程 P, 中 的 循环 永 不 终止 ， 则 无 限 次 地 变 为 可 执 
行 。 但 强 转换 公平 性 要 求 在 这 种 情况 下 z 必须 执行 。 因 此 ， 在 任何 情况 下 ， t BART. CH y 
HA 1 且 程 序 计 数 器 pc, 置 为 ro。 之 后 ， 没 有 转换 可 执行 ， 即 P, 终止 。 

适 要 注意 的 是 ， 我 们 通过 否定 的 方法 来 使 用 公平 性 假设 做 推理 。 假设 有 一 个 已 I] P, 的 无 
限 执行 。 这 种 情况 下 ， 我 们 使 用 公平 性 假设 来 排除 和 或 永远 不 被 执行 的 情况 。 BEH r M t 
执行 后 ， 两 个 进程 都 终止 ， 则 排除 了 执行 是 无 限 的 可 能 性 。 

我 们 现在 将 说 明 不 存在 一 个 调度 器 能 够 精确 地 产生 对 于 以 上 程序 满足 强 转 换 公平 性 的 执行 。 
如 果 有 这 样 的 调度 器 ， 我 们 可 以 在 符合 程序 行为 的 分 支 视角 的 树 中 整理 出 一 条 公平 的 执行 .该 
树 在 每 个 节点 上 有 有 限 多 个 选择 (最 多 为 转换 的 数量 )。 如 我 们 之 前 所 见 ， 这 棵 树 是 无 穷 的 ， 因 
此 有 无 限 多 的 执行 。 但 是 ， 如 之 前 所 述 ， 根据 强 转换 公平 性 假设 该 树 上 的 最 大 路 径 和 一 个 有 限 执 
行 相关 。 根 据 Konig 定理 的 著名 结论 (参见 2.3 节 ) 这 是 不 允许 的 ，Kanig 定理 断言 ， 在 一 个 每 
个 节点 有 有 限 多 个 选择 的 无 穷 树 中 必然 存在 一 个 无 限 序列 。 相似 的 分 析 可 以 证 明 ， 不 存在 一 个 
调度 器 满足 前 文 提 到 的 公平 性 假设 。 

以 下 提 到 的 区 分 是 非常 重要 的 ， 上 上述 证 明 只 能 说 明 人 们 不 能 够 构造 一 个 调度 器 来 产生 一 个 
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给 定 程序 的 满足 〈 强 转换 ) 公平 性 假设 的 所 有 执行 。 但 是 ， 我 们 可 以 确定 能 构造 出 一 个 仅 产生 叭 
一 的 〈 强 ) 公平 执行 的 调度 器 。 这 样 的 调度 器 因此 可 以 产生 公平 执行 的 子 集 。 

练习 4. 12. 1 描述 一 个 调度 算法 ， 其 作用 是 保证 调度 后 的 执行 能 满足 弱 进 程 公平 性 。 解 释 
你 的 算法 为 什么 不 能 产生 所 有 满足 弱 进 程 公平 性 假设 的 执行 。 


就 像 选 择 原 子 转换 的 粒度 一 样 ， 公 平 性 假设 的 选择 对 于 正确 地 为 并 发 程序 建 模 也 是 很 微 
妙 的 。 在 多 道 程序 设计 系统 中 ， 人 们 可 能 会 试 着 验证 一 个 调度 器 符合 一 些 公平 性 假设 。 这 也 
许 是 一 件 困难 的 任务 (实际 调度 器 可 能 包含 很 多 时 间 细 节 ， 且 调度 器 代码 也 许 是 对 用 户 不 可 
见 的 ) 。 

我 们 没有 一 种 通用 的 方法 来 决定 使 用 哪 种 公平 性 假设 。 形 式 化 方法 的 研究 人 员 和 从 业者 对 
于 公平 性 假设 的 选择 也 是 不 同 的。 尽管 某 些 人 仅仅 把 公平 性 当做 一 个 数学 抽象 的 结果 ， 但 还 是 
有 很 多 人 采用 特殊 的 公平 性 假设 旦 根据 该 假设 规定 并 发 系统 的 实际 行为 。 

因为 公平 性 假设 是 用 于 限制 我 们 讨论 的 执行 集合 ， 所 以 使 用 正确 的 公平 性 限制 对 于 获取 可 
信 的 验证 结果 是 很 关键 的 。 一 方面 ， 假 设 我 们 采用 了 一 种 对 执行 集合 做 出 了 过 多 限制 的 公平 性 
假设 。 那么 ， 验 证 此 集合 满足 一 个 给 定 属性 可 能 无 法 发 现 被 移 除 执行 中 发 生 的 错误 。 另 一 方 
面 ， 假设 我 们 使 用 了 一 种 对 执行 集合 限制 不 足 的 公平 性 假设 。 那 么 可 能 出 现 一 种 情况 ， 即 我 们 
无 法 证 实 待 建 模 系 统 满 足 某 些 属性 ， 因 为 某 些 本 来 应 该 被 更 合适 的 公平 性 假设 排除 的 执行 仍然 
存在 。 

不 幸 的 是 ， 和 其 他 建 模 问题 一 样 ， 我 们 无 法 证 明 一 个 给 定 的 公平 性 假设 的 确 就 是 反映 现实 
的 正确 选择 。 在 即将 在 4. 13 节 中 讨论 的 偏 序 模型 中 ， 我 们 将 给 出 一 个 更 加 直观 的 意义 ， 使 其 因 
此 对 于 一 个 特定 的 公平 性 假设 有 公正 的 结果 。 

人 们 可 以 在 公平 性 假设 中 定义 等 级 ， 即 如 果 一 个 假设 允许 越 多 的 执行 ， 则 该 假设 越 弱 。 证 明 
一 个 系统 的 正确 性 ， 最 好 是 使 用 最 弱 的 可 能 假设 。 更 强 的 公平 性 假设 允许 的 是 更 弱 修 设 所 执行 
的 一 个 子 集 。 因此， 如 果 能 证 明 满 足 一 个 更 弱 的 公平 性 假设 允许 的 所 有 执行 拥有 某 个 属性 ， 则 其 
子 集 ， 即 更 强 的 假设 允许 的 执行 内 样 能 拥有 该 属 人 性。 当然 ， 因 为 公平 性 仅 限 制 允 许 执行 的 数量 ， 
因此 如 果 能 证 明 一 个 系统 在 没有 公平 性 假设 的 条 件 下 满足 其 规约 ， 则 在 所 有 公平 性 条 件 下 ， 系 
统 仍然 如 此 。 

对 于 前 文 列 出 的 公平 性 假设 ， 弱 进程 公平 性 比 强 进 程 公平 性 弱 (因此 命名 为 弱 和 强 )， 而 恰 
转换 公平 性 弱 于 强 转 换 公平 性 。 要 理解 这 一 点 ,我 们 可 以 考虑 弱 转 换 公平 性 和 强 转 换 公平 性 的 
例子 对 于 进程 公平 性 ， 论 证 过 程 类 似 )。 如 果 一 个 序列 满足 强 转 换 公平 性 ， 那 么 对 于 每 个 转换 ， 
在 某 些 点 上 ， 或 者 该 转换 永远 不 可 执行 ， 或 者 执行 无 限 次 。 显 然 ， 对 于 这 两 种 情况 ， 弱 转换 公平 
性 同样 满足 。 

我 们 同样 可 以 说 明 ， 在 有 限 多 个 转换 的 假设 下 ， 强 转换 公平 性 强 于 强 进程 公平 性 。 举 任意 一 
个 满足 强 转换 公平 性 的 序列 为 例 。 我 们 需要 证 明 该 序列 同样 满足 强 进程 公平 人 性。 假设 P 是 序 
列 的 无 限 多 个 状态 中 的 一 个 进程 ， 且 已 中 至 少 有 一 个 转换 是 
可 执行 的 。 因 为 每 个 进程 有 有 限 多 的 转换 ， 所 以 P. 中 至 少 有 一 
个 转换 是 会 无 限 次 可 执行 的 。 由 于 序列 满足 强 转 换 公 平 性 ， 因 
此 在 这 个 序列 中 会 无 限 次 地 执行 该 转换 。 这 意味 着 ， 在 上 中 存 
TEP, 中 无 限 次 发 生 的 转换 。 对 于 任意 P,， 我 们 同样 可 以 获得 这 
样 的 推论 。 因 此 8 满足 强 进程 公平 性 。 

我 们 可 以 证 明 ， 前 文 提出 的 四 种 公平 性 条 件 之 间 没 有 其 他 
的 关系 。 其 等 级 如 图 4.8 所 示 ， 其 中 从 一 个 公平 性 条 件 指向 另 图 4.8 公平 性 标准 假设 的 级 别 
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一 个 的 箭头 说 明 前 者 强 于 【〈 即 能 推出 ) 后 者 。 


4.13 偏 序 视角 

相对 于 前 文 描述 的 交错 执行 ， 并 发 系统 的 偏 序 执行 给 出 了 一 个 对 并 发 系统 更 直观 的 描述 。 
实际 上 ， 如 同 我 们 之 后 将 要 看 到 的 ， 程 序 的 交错 执行 可 以 被 理解 为 数学 结构 ， 它 可 以 从 程序 的 仿 
序 执行 中 获得 。 尽 管 偏 序 执行 模型 更 加 直观 ， 但 交错 序列 的 数学 简单 性 使 得 人 们 也 常常 选择 它 
来 表示 并 发 程序 。 虽 然 一 些 形式 化 方法 技术 可 以 直接 推理 偏 序 执行 ， 不 过 交错 序列 在 建 模 中 还 
是 更 多 地 被 使 用 。 由 于 操作 序列 较为 简单 ， 因 此 使 用 交错 模型 来 表示 并 发 执行 是 很 方便 的 。 我 们 
在 这 里 描述 这 个 模型 的 目的 ， 是 限制 模型 来 更 好 地 理解 为 并 发 软件 建 模 。 

对 于 交错 模型 ， 有 一 个 批评 的 观点 认为 它 无 法 区 分 非 确 定性 选择 和 并 发 ， 正 如 我 们 之 前 在 
4.3 节 中 所 见 ， 并 发 执行 a 和 8 的 情况 无 法 和 先 执行 a 然后 执行 8 或 先 执行 8 再 执行 4 的 情况 区 分 
开 来 。 由 于 执行 原子 转换 的 要 求 ， 使 得 交错 模型 对 事件 强加 了 全 序 。 

此 外 ， 交 错 模 型 表示 了 在 执行 每 个 转换 的 前 后 整个 系统 的 全 局 状态 。 实 际 上 ， 一 个 系统 很 少 
经 历 这 样 的 全 局 状态 。 由 于 不 同 的 并 发 行为 的 发 生 ， 系 统 在 同一 时 间 并 不 只 执行 一 个 转换 (除非 
是 多 道 程序 设计 系统 ) 。 这 通常 不 是 一 个 大 问题 ， 系统 的 规约 通常 忽略 强迫 不 同 部 分 并 发 执行 的 
限制 。 但 是 ， 正 如 我 们 将 在 本 节 的 后 面 所 要 展示 的 ， 有 些 情况 下 ， 区 分 系统 经 过 的 实际 状态 和 用 
交错 模型 建 模 的 人 工 状态 是 十 分 重要 的 。 


4. 13.1 一 个 银行 系统 的 例子 


要 说 明 交错 模型 的 问题 ， 让 我 们 考虑 银行 中 的 两 个 支行 。 每 个 支行 在 工作 日 开始 时 有 一 百 
万 美元 的 资金 。 在 工作 日 中 的 某 个 点 ， 一 个 客户 向 一 个 支行 存 人 两 百 万 美元 。 几 乎 是 同时 ， 另 一 
个 支行 被 抢劫， 其 拥有 的 一 百 万 美元 被 盗 走 。 大 体 上 两 个 事件 是 同时 发 生 的 。 要 为 此 银行 建 模 ， 
我 们 让 a 表示 存款 的 转换 ，8 表示 抢劫 的 转换 。 如 果 zl 为 第 一 家 银行 的 资金 数 ， 且 z2 为 第 二 家 
银行 的 资金 数 ， 则 在 a 之 前 状态 满足 zl 一 1 000 000, 且 在 a 之 后 状态 满足 x1 二 3 000 000。 类 似 
地 ， 在 6 之 前 状态 满足 z2 一 1 000 000， 且 在 8 发 生 之 后 满足 z2 一 0。 

如 图 4. 9 所 示 ， 我 们 用 全 局 〈 状 态 ) 空间 为 当日 的 情况 建 模 。 此 状态 空间 产生 了 两 个 交错 序 
列 ， 每 个 包含 三 个 状态 。 

现在 我 们 可 以 提问 ， 那 一 天 中 ， 银 行 的 实际 资金 是 多 少 。 银 行 的 股东 可 能 根据 当前 资金 和 初 
始 资金 的 关系 来 决定 买 人 或 售 出 股票 。 假 设 他 们 使 用 一 个 网 络 代理 程序 来 帮助 决策 ， 当 资金 多 
于 两 百 万 美元 时 买 人 ， 在 资金 达到 或 少 于 一 百 万 美元 时 售 出 。 当 该 程序 通过 两 种 不 同 的 顺序 了 
解 到 两 种 转换 的 发 生 时 ， 它 会 做 出 不 同 的 行为 。 如 果 存 款 消息 先 于 抢劫 消息 通知 到 该 程序 ， 则 程 
序 会 建议 买 人 银行 的 股票 。 如 果 抢 动 消 息 先 于 大 笔 存 款 的 消息 通知 到 该 程序 ， 则 程序 会 建议 售 
出 股票 ， 之 后 再 建议 买 人 股票 。 在 这 里 ， 代 理 程序 的 行为 可 以 视 为 判定 投资 好 坏 的 规约 。 尽 管 两 
个 交错 序列 最 后 关联 到 当日 同时 发 生 的 一 些 特殊 事件 ， 规 约 还 是 会 对 银行 的 金融 状况 做 出 完全 
不 同 的 评价 。 

这 个 假设 的 例子 说 明 ， 处 理 交 错 序列 和 全 局 状态 ， 有 些 时 候 会 产生 误导 的 效果 。 要 更 可 靠 地 
描述 银行 系统 ， 我 们 需要 注意 每 个 支行 各 自 的 资金 ， 从 建 模 角度 来 说 ， 就 是 其 各 自 的 本 地 状态 。 
表示 存款 的 转换 作用 在 某 个 分 支 的 本 地 状态 上 ， 产生 一 个 新 的 本 地 状态 ， 而 表示 抢 动 的 转换 作 
用 在 男 一 个 分 支 上 。 这 种 情况 如 图 4. 10 Bra, 
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$1M $1M 
a + + B 
$3M $ 0M 
图 4 9 一 个 银行 系统 图 4.10 银行 的 偏 序 描述 


一 个 偏 序 执 行 (E，~<》 包 括 一 个 有 限 或 无 限 的 事件 集合 E。 每 个 事件 表示 一 个 原子 转换 的 发 生 。 
这 些 事 件 通 过 偏 序 关系 “ 环 ” 来 排序 。 如 果 as<p8 则 在 8 可 以 开始 前 结束 。 实 际 上 ， 偏 序 关 系 
“<” 意 味 着 以 下 几 点 : 

传递 性 ”如果 wu<8 且 6<7y， 则 as<y。 这 一 点 直观 地 表示 了 如 果 事 件 y 在 8 之 后 发 生 ， 且 8 

Ea 之 后 发 生 ， 则 7 在 a 之 后 发 生 。 

反 自 反 性 ”a<a 的 情况 从 不 发 生 。 显 然 ， 一 个 事件 不 可 能 在 自己 结束 后 发 生 。 

不 对 称 性 ”如 果 a8， 则 不 能 有 8<a。 因 为 如 果 B68 在 a 之 后 发 生 ， 则 它 不 可 能 在 a 开始 之 前 

结束 。 

在 交错 模型 中 ， 每 个 事件 和 执行 一 个 转换 相关 ， 事 件 间 有 一 个 全 序 (total order) 。 也 就 是 ， 
对 于 任何 事件 对 a 和 B， 不 是 a 在 8 之 前 发 生 ， 就 是 8 在 a 之 前 发 生 。 在 偏 序 模型 中 ， 满 足 偏 序 条 
件 a<8 的 事件 在 时 间 上 是 不 能 重合 的 ， 即 2 必须 在 8 可 以 开始 前 结束 。 此 外 ， 还 可 能 存在 相同 
的 偏 序 执行 ， 既 没有 cK p, ERA 8<a。 这 意味 着 a 和 有 在 时 间 上 可 以 重 玖 。 但 是 ， 缺 少 顺序 并 
不 意味 着 两 个 事件 必须 重要 ， 尽 管 并 发 实现 希望 能 利用 两 者 执行 的 独立 性 。 

让 我 们 修改 银行 系统 的 例子 ， 假 设 我 们 有 一 个 包含 三 个 事件 a, 8 和 7 的 执行 ， 其 中 a BY 
产 存 人 事件 ，8 是 抢 动 事件 ，y 是 一 个 新 的 事件 ， 它 表示 第 一 家 支行 的 经 理 洲 请 存款 者 在 当天 共 
进 晚 餐 。 唯 一 的 顺序 对 即 a<y， 因 此 < Wy 需要 按照 指定 的 顺序 来 执行 。 由 于 a 发生 (至 结束 ) 
导致 了 YY 发 生 ， 因 此 这 个 顺序 表明 了 因果 关系 。 事 件 8 可 以 和 a 同时 执行 ， 和 y 同时 执行 ， 或 是 
和 部 分 的 a 和 部 分 的 y 并 发 。 因 此 ， 偏 序 模型 描述 了 哪些 事 可 以 并 发 ， 但 并 不 强制 其 同时 发 生 。 
如 果真 的 要 说 明 a 和 8 必须 同时 发 生 ， 我 们 可 以 定义 一 个 单独 的 转换 来 表示 这 两 个 事件 〈 或 使 用 
更 丰富 的 执行 模型 ) 。 

要 将 偏 序 执行 模型 和 并 发 软件 关联 起 来 ， 我 们 观察 到 并 发 程序 通常 包含 一 系列 组 件 ， 每 个 
组 件 有 各 自 的 本 地 状态 空间 。 举 例 来 说 ， 我 们 可 能 将 以 下 每 个 对 象 设置 为 一 个 独立 的 组 件 ， 这 些 
对 象 包括 : 

。 进程 已 (包括 仅 能 被 已 修改 或 使 用 的 变量 集合 ) 

。 全 局 变量 

。 消息 队列 

转换 系统 可 以 和 在 交错 模型 中 一 样 定义 。 每 个 这 样 的 转换 包括 一 个 依托 于 组 件 子 集 的 条 件 。 
因此 ， 在 执行 的 偏 序 模型 中 ， 转 换 可 以 从 一 一 组 本 地 状态 上 可 执行 ， 每 个 本 地 状态 来 自 不 同 的 组 
件 ， 这 样 当 这 些 状态 一 起 达到 时 ， 我 们 获得 转换 的 可 执行 条 件 。 类 似 地 ， 每 个 转换 的 执行 可 以 修 
改 一 组 不 同 组 件 中 的 状态 。 在 前 文 银行 系统 的 例子 中 ， 转 换 。 Al B 仅 根据 每 个 组 件 的 本 地 状态 各 
自 变 为 可 执行 的 ， 用 来 表示 银行 的 一 个 支行 。 但 是 ， 假 设 我 们 有 转换 w， 其 行为 是 每 日 结束 时 汇 
报 一 个 支行 的 资金 是 否 高 于 另 一 个 支行 ， 让 我 们 考虑 转换 zz 的 可 执行 性 。 这 个 转换 的 执行 取决 于 
每 个 组 件 的 本 地 状态 。 — 

考 虚 以 下 情况 ， 即 多 个 转换 可 执行 ， 依 赖 于 或 改变 至 少 一 个 共有 的 本 地 状态 。 这 表示 了 一 种 
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非 确 定性 选择 。 举 例 来 说 ， 我 们 对 银行 系统 的 例子 做 一 个 扩展 ， 假 设 有 另 一 个 人 同一 天 在 存 人 两 
百 万 美元 的 支行 存 人 50 美元 。 将 这 个 事件 标记 为 68。 由 于 该 支行 只 有 一 个 出 纳 ， 两 个 存款 操作 
不 能 并 发 执行 ， 而 由 出 纳 决 定 哪个 进程 优先 。 两 个 存款 操作 都 依赖 于 且 改 变 一 个 支行 的 本 地 
状态 。 

偏 序 模型 能 够 区 分 由 并 发 引起 的 非 确定 性 和 由 一 些 代码 中 的 选择 语句 决定 的 非 确定 人 性。 在 
后 一 种 情况 中 ， 有 两 个 偏 序 执行 。 在 银行 系统 的 例子 中 ， 我 们 可 以 选择 在 6 前 执行 a 或 在 a 前 执 
行 8。 这 些 选 择 对 应 不 同 的 偏 序 执行 。 


4. 13.2 线性 化 和 全 局 状态 


人 们 从 每 个 偏 序 执行 中 获得 相关 的 交错 模型 。 这 是 通过 将 偏 序 关 系 补 全 为 全 序 做 到 的 Gl 
常 还 有 更 多 的 方法 可 以 做 到 )， 主 要 的 操作 是 对 无 顺序 的 事件 对 加 入 顺序 。 每 个 通过 这 种 方式 从 
偏 序 中 获得 的 全 〔 即 线性 〉 序 叫做 对 偏 序 的 线性 化 。 附 加 的 顺序 必须 满足 两 个 条 件 : 

。 不 会 形成 事件 的 顺序 环 

。 每 个 事件 之 前 只 有 有 限 数量 的 其 他 事件 。 

因此 ， 一 个 偏 序 执行 可 以 关联 到 多 个 交错 序列 。 

在 执行 的 偏 序 模型 中 ， 我 们 可 以 通过 从 每 个 不 同 的 组 件 中 收集 一 个 本 地 状态 来 获得 一 个 全 
局 状态 。 但 是 ， 并 不 是 每 个 收集 的 结果 都 能 形成 一 个 全 局 状态 。 每 个 全 局 状态 s 将 偏 序 执行 中 的 
事件 分 成 两 部 分 : 发 生 在 ;之 前 的 (根据 事件 间 的 偏 序 关系 )， 标 记 为 before(s); 那些 之 后 发 生 
的 ， 标 记 为 a Frer(s) 。 

仅 当 集合 after(s) 是 有 限 且 左 封闭 时 ， 这 样 的 分 割 才 有 意义 。 给 定 一 个 偏 序 执行 CE, <), 
一 个 左 封闭 集合 CCE 必须 满足 : 

如 果 一 个 事件 a 属于 C 上 且 对 事件 PE 五 有 8<a， 则 8 同样 属于 C。 

我 们 同样 通过 beforel(s) 一 C 来 构造 赋值 a 并 附加 到 全 局 状态 上。 我 们 假设 偏 序 执行 E, <) 
中 的 每 个 事件 和 系统 的 一 个 或 多 个 本 地 组 件 〈 进 程 ) 相关 ， 其 中 每 个 本 地 组 件 有 一 个 初始 状态 。 
此 外 ， 对 于 每 个 事件 ， 有 一 个 本 地 状态 表示 相关 组 件 中 的 变量 在 事件 发 生 后 的 值 。 全 局 赋值 < 和 CC 
中 的 最 大 事件 后 的 本 地 赋值 相符 。〈 对 于 事件 C C， 如 果 没 有 其 他 事件 BE CHa <p, MR a 为 
最 大 事件 .) 如 果 对 于 某 个 组 件 〈 进 程 ) C 不 包含 任何 事件 ， 那 么 对 于 这 个 组 件 的 变量 ， 全 局 赋 
值 a 和 初始 值 一 致 。 

考虑 银行 系统 的 初始 版 本 和 图 4. 10。 其 中 有 两 个 无 序 事件 O 和 8。 因此 ， 我 们 可 以 得 到 E= 
Cas Bhs D), B—PRAT NAMA x1 =1 000 000。 另 一 个 支行 的 本 地 初始 状态 为 z2— 
1 000 000。 在 执行 a 之后， 本 地 状态 为 z1 一 3 000 000。 在 执行 8 后 ， 本 地 状态 为 z22 二 0。 这 里 有 
4 个 左 封闭 子 集 : f 

” 所 (事件 的 空 集 )。 因 为 空 集中 没有 事件 ， 两 个 组 件 〈 银 行 支行 ) 处 于 其 初始 状态 。 全 局 

赋值 和 本 地 初始 状态 一 致 ， 即 x1=1000 000 H z2 一 1 000 000, 

”a}。 仅 有 一 个 支行 参与 。 对 于 此 状态 的 全 局 赋值 有 zl r> 3 000 000， 这 和 本 地 状态 执行 
“后 相符 。 因 为 另 一 个 支行 仍 处 于 其 初始 状态 ， 所 以 全 局 赋值 同样 有 z2 > 1 000 000， 这 
和 该 支行 的 本 地 初始 状态 一 致 。 

。 {人 。 仅 有 一 个 支行 参与 。 对 于 此 状态 的 全 局 赋值 有 z2 0， 这 和 本 地 状态 执行 8 后 相 
符 。 因 为 另 一 个 支行 仍 处 于 其 初始 状态 ， 所 以 全 局 赋值 同样 有 c1 1000 000， 这 和 该 支 
行 的 本 地 初始 状态 一 致 。 

° (a，B} 。 两 个 支行 都 参与 。 由 于 a 和 8 是 无 序 的 ， 所 以 两 者 都 是 最 大 的 。 全 局 赋值 同 a 执 
行 后 的 本 地 状态 即 z1F> 3 000 000 和 有 执行 后 的 本 地 状态 即 =2Fy0 保持 一 致 
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对 于 偏 序 模型 的 全 局 状态 的 定义 允许 我 们 将 全 局 状态 的 概念 关联 回 之 前 在 交错 语义 上 的 定 
义 。 但 是 ， 需 要 注意 偏 序 执行 中 的 全 局 状态 并 不 是 一 般 意 义 上 的 线性 顺序 。 实 际 上 ， 从 偏 序 执行 
获得 的 全 局 状态 间 的 顺序 ， 和 事件 集合 的 包含 关系 相符 。 也 就 是 说 ， 如 果 存 在 关系 be fore(s,)C 
beforels,)， 则 全 局 状态 s 在 全 局 状态 s 之 后 发 生 。 在 前 文 的 例子 中 ， 和 {a} 相对 应 的 全 局 状 
态 发 生 在 和 必 对 应 的 全 局 状态 之 后 ， 并 且 发 生 在 和 (a, A 对 应 的 全 局 状态 之 前 。 但 是 ， 和 ta) 
及 {B) 相符 的 全 局 状态 是 无 序 的 ， 且 它们 对 应 的 赋值 不 能 出 现在 同一 个 线性 化 中 。 


4.13.3 一 个 简单 的 例子 


图 4. 11 是 一 个 简单 程序 的 例子 。 该 程序 有 两 个 进程 Pl 和 P2。 进 程 Pl 开始 时 有 zx 二 0, € 


不 断 递 增 二 的 值 ， 并 且 通 过 一 个 同步 通信 序列 将 新 
的 值 传 给 P2。 进 程 P2 开始 时 y 一 0。 该 进程 每 次 接 
受 一 个 值 ， 传 给 其 变量 *， 之 后 加 到 > 上 。 为 了 使 这 
个 例子 简单 一 些 ， 我 们 忽略 了 一 些 实际 因素 ， 例 如 
数据 字 长 度 。 因 此 ， 我们 假设 两 个 进程 永久 运行 。 
由 于 通信 和 是 同步 的 ， 因 此 有 一 个 单一 转换 来 表示 道 
信 ， 有 效 地 将 的 值 赋 给 z。 这 个 转换 被 两 个 进程 共 
享 。 因此， 这 个 程序 有 三 个 转换 ， 


a? pcl =m0— (pcl, z) := (ml, x41) 
Bt pcl =m1 A pc2 

=n0— (pcl, pc2, z) := (mQ, nl, >) 
y: pe2=nl— (pc2, y) := (n0, y+2) 


图 4.12 描述 了 程序 的 一 个 偏 序 执行 。 它 展示 了 
状态 发 生 间 的 顺序 和 每 个 转换 前 后 的 本 地 状态 。 因 
此 ， 图 中 的 箭头 不 直接 表示 事件 间 的 偏 序 关 系 。 相 
反 ， 偏 序 由 事件 之 间 的 路 径 来 表示 。 举 例 来 说 ， 顶 
MEF a 的 发 生 先 于 8 的 发 生 ， 而 6 又 在 男 一 个 a 之 
前 发 生 。 因 此 ,之 前 的 a 的 发 生 同样 在 之 后 的 w 的 
发 生 之 前 。 有 些 a 和 7 的 发 生 是 无 序 的 ， 这 和 它们 
可 以 并 发 执行 的 可 能 性 相符 。 但 是 ， 有 些 a 的 发 生 
排序 在 一 些 之 后 的 7 发 生 之 前 ， 反 之 亦 然 。 

因为 没有 非 确定 选择 ， 所 以 对 于 这 个 程序 实际 
上 只 有 一 种 偏 序 执行 。 图 4. 13 给 出 了 无 限 的 偏 序 执 
行 的 补 全 的 全 序 中 的 两 种 。 图 4. 12 中 的 虚线 对 应 一 
个 全 局 状态 。 这 个 状态 包含 了 该 虚线 之 前 出 现 的 所 
有 本 地 状态 。 它 和 执行 中 的 一 部 分 相关 ， 这 部 分 包 
括 两 次 事件 a 的 发 生 和 事件 8 的 单 次 发 生 。 相 关 的 
全 局 赋值 可 以 通过 获取 虚线 下 面 的 最 大 本 地 状态 的 
赋值 来 形成 ， 即 
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图 4.11 通过 消息 传递 进行 进程 交互 





f nO0:ch?z 








{pel + m0, x +» 0} {pc2 = n0,y + 0, z = 0} 


{pcl = ml, x > 1} 
B 


{per m0,x 1} {pc2 = nl,y 4 0,24 L} 


Pp ey 


{pcl => ml,x > 2} {pc2 = n0,y 41,241} 


1 
1 
1 
1 
' 





{pel => ml,x = 2} {pc2 = nl, y= l, z2} 
“Pp 
{pcl +> ml,x +43} C2 + n0, y 43,2442} 


>Z 


(pel + m0, x++ 3} {pel nl,y 43,2443} 


| | 
图 4.12 图 4.11 中 程序 的 一 个 偏 序 执行 


{telP ml, z2, p2 nl, yH 0,21 1} 


除了 以 上 事件 之 外 ， 一 个 之 后 的 全 局 状态 也 包括 了 事件 y 的 第 一 次 发 生 ， 该 事件 符合 全 局 赋值 
(peclP ml, z 2, peZ n0, y lz 1} 





(m0,x—0,n0,y+0,z+01 
a 


{ml, x11, 20, p 0, 2-0} 


(mO,x—1,nl,y-0,z—1 
ry 
{m0,x1,n0,yol, 241} 


{m0, x0, n0, y 0, z> 0} | 


a 


{m1, x41, n0, +0, 20} 


Y 
{m0, x1, nl, y0, z1 
a 


{m1, x2, nl, y0, z> 1} 
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a | y7 


{ml, x2, n0, y l,z=> 1} {ml, x2, n0, ym l, z1} 





{m0, x92, nl, yml, z2} (m0, x2, nl, yo 1, 242} 
?| J? 
{m0, x2, n0, y3, z2} {m0, x2, n0, ym 3, 2 2} 











4.13 两 个 交错 序列 


4.13.4 偏 序 模型 的 应 用 


通过 偏 序 执行 和 交错 序列 的 相关 性 ， 我 们 可 以 将 每 个 交错 序列 视 为 一 个 数学 结构 。 这 使 得 
我 们 可 以 用 一 些 数学 工具 来 处 理 序列 。 有 趣 的 是 ， 我 们 发 现 ， 很 多 用 来 推理 交错 序列 的 形式 化 方 
法 ， 包 括 时 序 逻 辑 ， 可 以 区 分 从 相同 偏 序 执行 中 构建 出 来 的 交错 执行 ， 同 样 ， 前 文 银行 系统 的 例 
子 中 描述 的 代理 程序 也 能 够 做 到 。 

有 一 个 有 趣 的 关于 偏 序 和 交错 的 关系 的 应 用 ， 即 基于 偏 序 的 验证 [76]。 它 发 现 了 一 个 事实 ， 
即 规约 通常 无 法 区 分 符合 同一 个 偏 序 执行 的 线性 化 (交错 操作 )， 因 此 这 样 的 区 分 必须 人 工 操 作 。 
这 样 的 验证 方法 ， 通 过 为 每 个 偏 序 执行 选择 方便 的 代表 来 推理 程序 。 因 此 ， 我 们 需要 推理 更 少 的 
可 能 性 且 验 证 通常 变 得 更 简单 。 与 此 相似 ， 偏 序 约 减 [55，113，142] 尝试 在 算法 上 利用 这 种 现 
象 来 减少 模型 检验 算法 中 发 生 的 状态 爆炸 问题 (参见 第 6 章 ) 。 

和 公平 性 假设 对 交错 序列 的 限制 相同 ， 人 们 可 能 对 偏 序 执行 加 以 限制 。 最 常用 的 限制 叫做 
级 大 性 《〈maximality)。 它 要 求 如 果 一 组 本 地 状态 中 没有 一 个 立即 跟随 事件 ， 则 一 个 偏 序 执行 不 
能 激活 这 组 本 地 状态 共同 的 转换 。 

有 趣 的 是 ， 我 们 注意 到 表面 上 极 大 性 限制 可 以 被 转换 成 相关 的 由 偏 序 执行 产生 的 交错 序列 
士 的 公平 性 假设 。 定 义 一 个 〈 对 称 自 反 ) 的 依赖 关系 D， 该 关系 作用 于 转换 上 ，aD8 表 示 任 何 a 
和 8 不 能 并 发 执行 。 也 就 是 说 ， 不 能 有 这 些 转换 的 无 序 (关于 “<”) 发 生 。 这 样 我 们 就 可 以 证 
明 (参见 [82，115]) 极 大 性 等 价 于 如 下 假设 ， 

不 存在 一 个 无 限 的 执行 ， 对 于 某 些 状态 ;s， 永 远 有 一 个 转换 a 可 执行 ， 且 永久 保持 

可 执行 ,但 和 任何 依赖 < (根据 关系 D 都 不 会 在 s 后 执行 。 

些 假设 和 弱 进 程 公平 性 非常 相似 。 这 里 我 们 再 次 重申 ， 伪 序 和 交错 执行 的 相关 性 可 以 帮助 
我 们 解释 建 模 问 题 。 


4.14 形式 化 建 模 


很 多 软件 可 靠 性 工具 中 用 于 表示 软件 系统 的 形式 化 只 是 简单 的 程序 设计 语言 。 用 户 在 使 用 
工 其 前 ， 必 须 编写 系统 的 抽象 描述 。 其 他 形式 化 建 模 是 基于 一 些 有 限 自动 机 的 扩展 形式 。 Rie 
况 下 ， 自 动 将 系统 的 初始 表达 转换 为 形式 化 模型 是 直接 可 行 的 。 但 是 ， 由 于 形式 化 方法 的 相关 复 
杂 性 和 可 计算 性 限制 ， 这 种 特性 通常 受到 严格 限制 并 且 不 是 广泛 可 行 的 。 因 此 ， 存 在 一 个 惯例 ， 
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即 软件 可 靠 性 工具 的 用 户 以 人 工 方式 对 待 检 验 系 统 进行 抽象 ， 从 而 获得 通过 所 用 工具 的 特定 建 
模 形式 化 而 给 出 的 描述 。 

设计 形式 化 建 模 是 为 了 达到 以 下 目的 ; | 

。 在 形式 化 建 模 和 某 内 部 表达 间 存 在 一 种 简单 、 有 效 的 转换 。 对 于 软件 可 靠 性 工具 而 言 ， 

通过 优化 ， 我 们 可 以 使 用 其 内 部 表达 来 获得 更 佳 的 效率 。 

。 形式 化 将 用 户 限制 到 一 个 形式 化 方法 可 以 应 用 的 范围 。 例 如 ， 它 可 以 限制 模型 包含 有 限 

的 状态 ,或 使 用 一 个 特殊 的 签名 。 

。 形式 化 丰富 且 易 于 使 用 。 为 系统 建 模 的 过 程 通常 由 人 工 完 成 。 这 就 成 为 使 用 形式 化 的 瓶 
颈 ， 且 有 很 大 可 能 造成 建 模 错 误 。 丰 富 的 形式 化 可 以 简化 建 模 过 程 且 使 得 建 模 错 误 最 
小 化 。 . 

。 形式 化 建 模 需 要 有 一 个 清晰 且 形 式 化 定义 的 语义 。 软 件 可 靠 性 工具 关注 的 是 系统 的 正确 
性 。 因 此 ， 工 具 的 开发 人 员 需 要 努力 使 得 工具 不 会 引入 含糊 或 是 误导 性 的 结构 ， 因 为 这 

某 些 标准 建 模 形式 化 的 目的 ， 是 为 了 使 得 工具 开发 人 员 无 需 设 计 新 的 程序 设计 语言 ， 同 时 
获得 统一 且 受 到 广 为 接 受 的 语义 。 在 描述 通信 协议 的 例子 中 尤其 如 此 。 这 样 的 形式 化 通常 被 称 
为 “形式 化 描述 技术 ”(FDT)。ISO 《国际 标准 化 组 织 ) 定义 了 一 些 著名 的 标准 形式 化 的 例子 。 
例如 ESTELLE[23], LOTOS[17] 以 及 SDLL62]。 但 需要 注意 的 是 ， 标 准 形式 化 的 开发 通常 独 
立 于 特殊 的 软件 可 靠 性 工具 。 

进程 代数 也 被 用 于 为 系统 建 模 。 有 一 种 这 样 的 形式 化 称 为 CCS[100]， 它 是 LOTOS 的 原型 。 
CCS 和 LOTOS 将 在 第 8 章 中 讲述 。 另 一 种 广 受 欢迎 的 形式 化 叫做 PROMELA[65]。 这 种 程序 设 
计 语 言 在 模型 检验 工具 SPIN 中 使 用 。 它 允许 大 量 的 程序 设计 结构 和 不 同类 型 的 并 发 交互 ， 包 括 
间 步 和 异步 消息 传递 以 及 共享 变量 。 对 于 PROMELA 的 关注 和 使 之 成 为 一 种 丰富 的 建 模 语言 
努力 ， 使 得 SPIN 成 为 一 个 非常 受 欢迎 的 验证 工具 。 

有 时 候 ， 将 一 种 工具 使 用 的 形式 化 建 模 语言 转换 为 另 一 种 工具 使 用 的 另 一 种 形式 化 建 模 语 
言 是 可 行 的。 这 样 的 转换 使 得 我 们 可 以 不 用 重复 建 模 过 程 就 能 使 用 不 同 的 形式 化 方法 和 软件 可 
靠 性 工具 。 这 是 有 可 能 的 ， 因 为 许多 工具 关于 计算 模型 使 用 了 相同 的 假设 ， 特 别 是 具有 有 限 多 个 
状态 。 但 是 ,需要 注意 的 是 ， 由 于 形式 化 方法 通常 基于 计算 难题 ， 因 此 很 多 工具 使 用 了 各 种 启发 
式 方法 来 根据 它们 使 用 的 特殊 形式 化 进行 优化 ， 使 其 工作 效率 提高 。 举 例 来 说 ， 一 个 工具 可 能 包 
含 一 种 启发 式 方法 ， 该 方法 缩减 了 检验 一 种 特定 的 通信 模式 所 需要 的 状态 数量 。 这 样 的 模式 之 
后 可 以 在 模型 的 编译 过 程 中 被 识别 。 将 一 种 形式 化 转换 为 另 一 种 会 忽略 这 样 的 启发 式 方法 ， 日 
因此 产生 一 种 目标 工具 表现 较 差 的 系统 描述 。 

另 一 种 为 系统 建 模 的 方法 ， 是 用 图 形 接口 来 获取 系统 的 描述 。 这 种 建 模 方法 将 系统 的 可 视 
化 描述 放 在 一 起 ， 通 常 组 成 一 个 有 限 图 。 这 种 描述 被 转换 为 一 些 内 部 表达 ， 对 于 用 户 这 种 操作 是 
透明 的 。 这 样 的 描述 特别 适合 于 有 限 状 态 系 统 。 无 限 状 态 系统 同样 可 以 通过 类 似 的 方法 描述 ， 这 
种 方法 巴 做 扩展 有 限 状态 系统 :和 直接 表示 系统 的 状态 不 同 ， 人 们 可 以 表示 有 限 数量 的 参数 化 
状态 ， 这 些 状态 只 包含 部 分 描述 。 附 加 的 参数 ， 例如 程序 变量 或 消息 队列 ， 并 没有 可 视 化 描述 。 
这 些 可 视 化 的 成 果 近 来 变 得 十 分 重要 ， 也 成 为 软件 可 靠 性 工具 变 得 越 来 越 受 欢 迎 的 原因 之 一、 

使 用 图 和 其 他 图 表 可 视 化 的 规约 为 我 们 在 设计 系统 时 提供 了 一 个 更 直观 的 理解 。 举 例 来 说 ， 
. UML 方法 学 [46] 以 及 相似 的 ROOM 方法 学 [127] 包含 了 一 组 不 同 的 图 ， 这 些 图 表 可 以 表示 
历 设计 的 系统 的 不 同方 面 。 有 一 类 图 用 来 表示 系统 的 体系 结构 ， 包 括 不 同 的 进程 和 它们 之 间 交 
互 的 方法 。 另 一 类 图 用 于 描述 系统 中 每 个 进程 的 行为 。 这 一 般 是 遂 过 使 用 一 些 类 型 的 状态 空间 
搞 述 完成 的 。 系 统 的 不 同行 为 通常 通过 其 他 形式 化 来 描述 ， 例 如 消息 序列 图 ， 它 描述 不 同 场景 的 
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消息 交换 。 在 第 11 章 中 ,我们 将 进一步 说 明 可 视 化 描述 技术 。 


4. 15 一 个 项 目的 建 模 

以 下 通信 协议 的 目标 是 在 有 损 通 信 队 列 上 传输 一 个 消息 。 根 据 OSI (Open Systems Intercon- 
nection， 开 放 系 统 互联 ) 通信 模型 ， 这 个 协议 是 数据 链 路 层 的 一 部 分 。 发 送 者 进程 通过 一 个 不 可 
靠 通 信和 链 路 发 送 一 个 消息 (使 用 命令 SendEno), 。 所 处 环境 可 能 最 终 将 消息 转发 到 接收 者 进程 ， 
或 者 消息 会 丢失 。 如 果 消 息 没 有 丢失 ， 接 收 者 进程 通过 EnvReceive 命令 接收 消息 。 由 于 存在 消 
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息 丢 失 问 题 ， 发 送 者 进程 通过 一 个 比特 位 NeztMessage 来 发 送 消息 数量 的 指示 。 这 个 变量 使 用 


一 个 模块 来 计算 被 传送 的 消息 数 。 从 发 送 者 发 送 到 接收 者 的 消息 包括 了 消息 的 内 容 和 NeziMes- 
sage 计数 器 的 值 . 

由 于 没有 标记 显示 消息 丢失 ， 发 送 者 使 用 一 个 计时 器 ， 每 次 一 个 消息 发 送 后 开始 计时 ， 每 当 
消息 被 接收 时 重 置 。 接 收 者 通过 AckReceive 命令 等 待 消息 到 达 的 确认 或 是 通过 TimerUp 事件 等 
待 计时 器 到 时 。 后 者 触发 发 送 者 尝试 重新 发 送 。 当 然 ， 如 果 接 收 者 或 者 网 络 环境 过 慢 ， 计 时 器 会 
提早 到 时 。 在 这 里 ， 我 们 需要 对 该 算法 进行 形式 化 验证 (或 者 相反 的 ， 证 伪 ) 。 

等 待 一 个 事件 通过 使 用 结构 wait-event […] 在 下 面 给 出 。 如 果 有 多 个 事件 可 以 发 生 ， 它 们 
会 在 结构 中 通过 “[J” 被 分 开 。 一 个 触发 事件 ， 即 一 个 接收 事件 或 一 个 超时 事件 ， 之 后 跟着 一 个 
“一 >” 且 这 个 指令 必须 在 事件 发 生 之 后 被 执行 。 

Sender :: bool NextSend ,AckVal = 0; 

while true do 
prepare NeztMessage; 
SendEnv NextSend , NextMessage; 
StartTimer; 
wait event | 
AckReceive AckVal — > 
Cancel Timer; 
if Ack Val = NextSend then 
NextSend : = 1 — NextSend 
ll 
TimerUp — > no_op 
end 
I 
Receiver t: bool MsgNum , FrameExpected= 0; 
while true do 
tnit- event { 
EnvReceive MsgNum ,MsgContent — > 
if MsgNum=FrameEzx pected then 
FrameEx pected : = 1—FrameEx pected; 
ReceiverAck! 1—FrameExpected} 
end 
更 多 关于 此 协议 的 细节 和 类 似 的 协议 可 以 在 Tanenbaum 的 关于 计算 机 网 络 的 书 [138] 中 
找到 。 
在 对 此 协议 建 模 前 ， 以 下 几 点 需要 考虑 ， 
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计时 器 可 以 被 认为 是 一 个 单独 的 进程 ， 该 进程 包括 三 个 转换 :， 设置、 重 置 和 到 时 。 这 些 
转换 和 发 送 者 进程 共享 。 

不 需要 强加 一 个 实际 时 间 约 束 来 引起 计时 器 到 时 。 我 们 可 以 简单 地 通过 一 个 包括 到 时 和 
被 发 送 者 取消 的 非 确定 性 选择 来 为 其 建 模 。 

两 条 通信 链 路 : 从 发 送 者 到 接收 者 的 用 于 发 送 消 息 的 链 路 ， 以 及 从 接收 者 到 发 送 者 的 用 
于 接收 消息 的 链 路 ， 可 以 通过 与 相关 进程 的 转换 共享 ， 用 两 个 额外 进程 建 模 。 

实际 消息 在 这 里 是 无 关 的 。 一 种 可 能 是 使 用 一 个 非 确定 性 转换 ， 对 于 和 准备 NeztMes- 
sage 相符 的 转换 中 赋 给 NertMessage 的 值 ， 该 非 确定 性 转换 不 做 限制 。 另 -一 种 可 能 是 忽 
略 和 消息 内 容 相 关 的 部 分 。 抽 象 的 过 程 将 在 10. 1 节 中 进一步 讨论 ， 而 且 一 般 需 要 一 些 形 
式 化 解释 “尽管 实际 上 ， 通 常 是 非 形 式 化 的 解释 ) 。 


4.16 扩展 阅读 


以 下 书籍 给 出 了 系统 建 模 的 全 面 讨论 : 
Z. Manna, A. Pnueli, The Temporal Logic of Reactive and Concurrent Sys- 
tems: Specification, Springer-Verlag, 1991. 
一 本 全 面 关注 建 模 〈 和 验证 ) 公平 性 问题 的 书 是 ; 
N. Francez, Fairness, Springer-Verlag, 1986. 
以 下 这 本 书 综 述 了 开发 程序 设计 语言 和 经 典 并 发 算法 的 例子 ， 还 进一步 给 出 了 验证 的 例子 : 
M. Ben-Ari, Principles of Concurrent and Distributed Programming, Prentice- 
Hall, 1990. 
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Software Reliability Methods 


形式 化 规约 





“你 要 是 像 我 一 祥 热 悉 时 间 ,” 帆 匠 说 ,，“ 你 就 不 会 说 浪费 它 。 应 该 说 他 。” 
刘易斯 卡 洛 尔 《爱丽 丝 漫游 奇 境 记 》 


很 多 软件 项 目 都 要 经 历 几 个 月 甚至 几 年 的 开发 周期 。 在 其 生命 周期 中 ， 软 件 产品 会 经 常 更 
新 、 增 加 新 的 功能 或 者 调整 以 满足 用 户 新 的 需求 。 一 个 完整 的 系统 可 能 包含 成 百 上 于 万 行 的 代 
码 ， 可 能 需要 不 同 地 域 的 成 百 上 千 人 共同 进行 开发 和 维护 。 一 个 软件 系统 可 能 由 很 多 部 分 组 成 ， 
每 一 部 分 对 应 执行 一 些 预先 定义 好 的 任务 。 不 同 部 分 之 间 的 交互 需要 定义 一 些 接口 ， 正确 地 使 
用 它们 对 于 合并 组 件 使 之 成 为 能 够 正常 运行 的 系统 非常 重要 。 

形式 化 地 描述 设计 并 及 时 更 新 规约 有 助 于 保障 项 目 在 开发 和 维护 过 程 中 不 同 部 分 的 一 致 性 。 
通过 明确 定义 每 组 代码 的 功能 能 够 对 编程 的 人 力 投入 进行 划分 ， 而 明确 的 接口 规约 则 能 够 保障 
划分 的 有 效 性 。 每 个 小 组 的 开发 人 员 可 以 关注 自己 的 部 分 ， 并 根据 相应 的 规约 使 用 其 他 小 组 的 
工作 。 规 约 能 够 用 来 将 设计 和 实现 或 者 原始 代码 进行 比 对 ， 并 且 可 以 作为 实现 代码 变更 的 参考 。 

“一 个 程序 是 正确 的 ”这 句 话 ， 只 有 在 给 定 一 个 规约 的 情况 下 才 有 意义 。 因 此 ， 形 式 化 验证 
必须 与 具体 的 规约 相关 联 。 执 行 各 类 验证 的 工具 均 使 用 形式 规约 体系 ， 并 且 能 够 检查 系统 初步 
规约 的 内 部 一 致 性 。 

形式 化 规约 能 够 作为 开发 者 和 客户 之 间 的 奥 约 。 容 户 可 以 提出 一 些 形式 化 的 需求 或 者 审核 
开发 人 员 建 议 的 规约 。 因 此 ， 规 约 能 起 到 类 似 于 法 律 合约 的 作用 。 当 开发 结束 后 ， 如 果 产 品 不 能 
满足 规约 ， 容 户 能 够 对 其 提出 异议 ,同样 开发 人 员 也 可 以 用 规约 反驳 并 且 表 明 发 布 的 产品 满足 
了 规约 。 我 们 可 以 用 验证 工具 来 回答 相关 的 功能 实现 是 否 满足 了 规约 。 

在 本 章 我 们 将 研究 描述 系统 属性 的 形式 化 机 制 。 描 述 系统 本 身 与 描述 其 属性 是 不 同 的 行为 ， 
不 能 混淆 。 两 种 规约 可 能 有 时 使 用 相似 甚至 相同 的 形式 化 机 制 。 然 而 ， 在 一 些 情况 下 ,它们 被 表 
达 为 不 同 的 形式 化 机 制 。 例 如 ， 系 统 规约 能 够 描述 为 程序 或 者 状态 机 ， 它 们 能 够 描述 系统 行为 的 
细节 。 另 一 方面 ， 系 统 属性 也 能 够 用 简明 的 逻辑 符号 描述 。 


5.1 规约 机 制 的 属性 


规约 需要 是 精确 的 ， 并 且 有 了 唯一 和 一 致 的 解释 。 因 此 ， 规 约 机 制 (specification formalism) 
需要 良 定义 的 语法 和 精确 的 语义 。 这 样 规约 才 是 无 二 义 的 ， 并 且 问 题 “ 系 统 是 否 满足 其 规约 3” 
AAA HER. 

通常 在 需求 文档 中 使 用 的 自然 语言 常常 具有 二 义 性 ， 因 此 不 适 于 形式 化 地 描述 软件 。 注 意 
规约 的 不 明确 是 指 规约 的 解释 可 能 不 止 一 种 方式 。 事实 上 ， 一 个 规约 机 制 是 无 二 义 的 并 不 意味 
着 给 定 的 属性 不 可 以 有 多 种 描述 的 方式 。 虽然 ， 如 果 一 个 形式 化 机 制 中 对 每 个 属性 只 有 一 种 措 
述 方法 的 话 可 能 会 带 来 一 定好 处 ， 但 这 只 是 个 小 问题 。 规 约 机 制 并 不 一 定 需要 文本 形式 。 最 近 的 
趋势 是 使 用 可 以 进行 可 视 化 描述 的 形式 化 机 制 ， 这 样 的 形式 化 机 制 能 够 给 予 所 描述 的 系统 一 个 
更 加 直观 的 理解 。 可 视 化 的 机 制 将 在 第 11 章 介 绍 。 

规约 机 制 需要 直观 并 且 易 于 使 用 ， 能 够 由 程序 员 、 系 统 设计 者 、 需 求 工 程 师 等 撰写 。 它 需要 
能 够 被 其 他 人 员 理 解 ， 比 如 开发 者 和 测试 者 。 在 形式 化 方法 应 用 中 ， 规 约 常 常 被 算法 使 用 ， 所 以 
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它 需 要 是 机 器 可 读 的 。 然 而 ， 它 的 主要 目的 是 在 人 与 人 之 间 传 达 信 息 。 即 使 其 个 规约 机 制 被 用 于 
测试 和 验证 ， 如 果 不 能 反映 人 们 所 想 表达 的 属性 ， 它 也 是 无 用 的 。 使 用 规约 机 制 首先 需要 学 习 
它 。 在 实际 使 用 中 ， 学 习 新 机 制 所 花费 的 时 间 将 会 在 减少 调试 时 间 上 得 到 很 好 的 补偿 。 

通常 人 们 更 愿意 使 用 能 够 简明 表示 需求 的 规约 机 制 。 然 而 ， 如 果 是 通过 复杂 的 数学 技巧 来 
获得 简明 ， 反 而 导致 得 到 的 规约 难以 理解 的 话 ， 那 么 这 样 的 “简明 ”并 不 能 带 来 任何 好 处 。 

如 果 一 个 好 的 规约 机 制 能 够 检查 或 者 验证 一 个 系统 和 它 的 规约 是 否 保 持 一 致 ， 那 么 我 们 称 
它 是 有 效 的 《effective)。 为 了 帮助 测试 和 仿真 ， 规 约 应 该 仅仅 针对 实际 实验 中 能 观察 到 的 对 象 。 
一 个 更 好 的 规约 机 制 则 可 以 用 一 个 高 效 的 (efficient) 自动 化 方法 来 对 其 执行 测试 或 者 验证 。 人 
们 想 要 进行 的 各 种 检查 将 会 影响 如 何 正 确 选 择 规 约 机 制 ， 例 奶 ， 

。 检查 规约 集合 中 不 包含 矛盾 。 例 如 ， 规 约 的 某 个 部 分 可 能 指定 任务 A 必须 在 任务 B 之 前 
执行 ， 而 另 一 部 分 指定 任务 B 必须 在 任务 A 之 前 执行 。 需 要 注意 ,不 存在 一 个 执行 能 够 
满足 一 个 有 记 盾 的 规约 。 
检查 规约 是 可 实现 的 。 例 如 ， 如 果 一 个 规约 要 求 系统 在 给 定时 间 内 响应 ， 而 某 些 附 加 的 
时 间 约 束 在 现实 中 无 法 实现 ， 那 么 这 样 的 规约 就 需要 去 除 。 

° 检查 所 要 求 的 规约 实现 的 正确 性 ， 或 者 至 少 使 用 充分 的 测试 用 例 集合 去 测试 它 。 

规约 机 制 的 表达 能 力 是 另 一 个 重要 的 因素 。 显 而 易 见 ， 人 们 更 愿意 使 用 能 表达 广泛 属性 的 
机 制 。 这 里 同样 存在 权衡 问题 。 一 个 有 更 强 表达 能 力 的 机 制 能 够 处 理 更 多 的 规约 实例 。 因 此 ， 这 
可 能 需要 更 多 复杂 的 自动 化 验证 算法 去 检查 规约 的 一 致 性 或 者 检查 系统 是 否 违背 了 某 个 规约 。 
在 一 些 情况 下 ， 选 择 一 个 有 更 强 表达 能 力 的 机 制 会 造成 完全 丧失 使 用 某 个 算法 去 执行 各 种 验证 
的 能 力 。 而 进一步 强 的 表达 能 力 要 求 可 能 会 导致 其 完全 无 法 用 手工 来 验证 。 因 此 ， 研 究 不 仅仅 需 
要 找到 有 更 强 表 达能 力 的 规约 机 制 ， 同 样 需要 找到 一 个 表达 能 力 稍 弱 但 更 有 效 的 规约 机 制 。 

规约 有 时 能 够 被 用 于 生成 一 些 初始 版 本 的 代码 。 一 些 算法 和 工具 能 够 自动 地 将 形式 化 规约 
转换 为 模板 代码 以 便 在 后 期 由 程序 员 具 体 实 现 为 实际 代码 ， 例 如 协议 的 通信 模式 就 属于 这 类 模 
板 。 这 样 的 模板 仍然 需要 在 实际 程序 成 型 之 前 完善 和 修改 。 另 一 种 相似 的 方法 允许 逐步 从 规约 
精 化 到 实际 程序 。 在 每 一 步 精 化 中 会 产生 一 个 更 加 详细 的 规约 ， 并 且 对 精 化 步骤 之 间 的 一 致 性 
可 以 进行 测试 或 者 验证 。 

这 样 的 将 规约 转换 为 代码 的 方法 显然 需要 占用 开发 时 间 ， 以 使 规约 的 过 程 融 入 实现 的 任务 
中 。 而 相应 的 由 规约 自动 化 生成 的 代码 会 更 加 可 靠 。 

不 幸 的 是 ， 不 存在 一 个 机 制 可 以 完美 地 适用 于 任何 情况 。 在 一 些 情况 下 ， 很 难 选择 一 个 非常 
适合 的 机 制 以 满足 规约 的 需要 。 正 确 的 选择 通常 是 不 同 机 制 的 结合 。 由 于 设计 出 满足 所 有 需求 
的 规约 机 制 很 难 ， 因 此 ， 就 像 存在 很 多 不 同 的 编程 语言 一 样 ， 同 样 存在 很 多 不 同 的 规约 机 制 。 主 
流 或 者 已 经 成 为 标准 的 规约 机 制 显 然 具 有 优势 。 在 本 章 的 后 续 部 分 ， 我 们 关注 两 个 拥有 大 量 使 
用 者 的 规约 机 制 :线性 时 序 融 辑 和 自动 机 。 在 本 书 中 ， 我 们 更 多 地 关注 描述 系统 的 动态 行为 ， 也 
就 是 系统 执行 中 的 演进 方式 ， 而 较 少 关注 描述 系统 的 静态 属性 。 某 些 如 一 阶 逻辑 (在 第 3 章 介 
绍 ) AZERE [35] 等 规约 机 制 更 多 地 关注 静态 属性 。 


5.2 线性 时 序 逻 辑 

在 第 3 章 讨论 的 一 阶 逻辑 及 命题 逻辑 能 够 表达 状态 的 属性 ， 每 一 个 公式 代表 一 个 满足 它 的 状 
态 集合 。 因 此 ， 此 类 逻辑 公式 能 够 表达 如 初始 条 件 、 终 止 状态 的 断言 或 者 不 变量 等 属性 。 通 过 保 
存 程序 变量 的 两 个 副本 ， 我 们 也 能 够 表示 初始 状态 和 终止 状态 间 的 关系 。 然 而 这 样 的 逻辑 是 兽 
态 的 ， 因 为 它们 表达 的 是 一 组 状态 ， 而 不 是 它们 在 程序 运行 中 的 动态 演变 。 

RSE H (modal logic) (参见 [71]) 通过 人 允许 描述 执行 过 程 中 不 同 状 态 间 的 关系 对 静态 逻辑 进 
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行 了 扩展 。 模 态 逻 辑 非 常 适合 描述 交互 、 并 发 或 分 布 式 系统 中 的 断言 ， 在 这 些 系统 中 ， 不 仅 需 要 关注 
程序 开始 和 结束 时 代码 取 值 的 变化 关系 ， 而 且 要 关注 执行 过 程 中 其 他 与 状态 顺序 有 关 的 属性 。 

REA BR (LTL) [91] 是 模 态 逻辑 的 一 个 实例 。LTL 一 般 通 过 对 程序 建 模 来 描述 交错 
序列 [119] 的 属性 ， 例 如 在 4.10 节 中 所 给 出 的 例子 。LTL 在 静态 逻辑 4 的 基础 之 上 定义 。 逻 辑 
2 能 够 描述 状态 的 属性 ， 但 是 不 能 描述 不 同 状态 间 的 变化 。 在 本 书 中 ， 我 们 将 用 一 阶 命题 逻辑 作 
为 WU 的 一 个 示例 。( 为 了 简化 起 见 ， 我 们 并 不 会 明确 提 及 在 逻辑 Ww 中 使 用 的 一 阶 结构 S。 相 应 地 ， 
我 们 用 符号 睛 代替 上 5 。) LTL 的 语法 如 下 所 示 ; 

。 中 的 每 个 公式 都 是 一 个 LTL AR. 

。 如 果 pg 和 yy 是 公式 , MOP, AW, (VP, (OM, OM, Ce), Up, Vp 

也 是 公式 。 

LTL 公式 一 般 通 过 一 个 无 限 状态 序列 zz x，… 来 解释 ， 我 们 用 EERU z, 开始 的 序列 二 
Kot ty TRAP A, BREFI zizirizire…。 这 样 我 们 可 以 方便 地 按照 如 下 的 方式 对 任意 序 
列 & 的 后 缀 序列 E 定义 其 LTL 语义 。 

° PEALK rEg 其 中 yy 是 静态 逻辑 4 的 公式 。 

。 foe) A tp RRL. 

EEA D M4 HoH R ety. 

PEV D MY toms ety, 

EEO RH eee, 

。 FEON 仅 当 存在 k ME seg. 

. PEOD 仅 当 对 于 每 个 >k, WA Ey. 

° FEUD RAFE i>kA CRY, HAMAS, ARL AEG, 
PECVD 仅 当 对 于 每 个 >k, Fey, RAM FAA je, Ao, FAM TE 
+i, kij, 满足 EY. 

第 一 行 的 语义 定义 说 明了 底层 逻辑 V 的 公式 ， 即 一 个 没有 包含 模 态 运算 符 的 LTL 公式 在 序列 
(TiTht1 Lape") 的 第 一 个 状态 Cr) 上 进行 解释 ， 后 三 行 是 常见 布尔 非 Cf") 、 合 取 (“A”) 和 
MR CVO 的 描述 。 其 余 的 定义 则 对 应 处 理 模 态 运 算 符 。 

模 态 运算 符 “O” A “FHA” Cnexttime) 。 当 p 在 从 下 一 个 状态 zit1 开 始 的 后 缀 序列 
Leri Ze e PMY, 则 公式 Og 在 序列 LiTr Ti i PRM, 类 似 地 ， 如 果 9 在 序列 Lite Lepa t 
Bir, WOOg 成 立 。 模 态 运算 符 “0” 称 为 “ 终 将 ” (eventually) 。 当 存 在 #8 的 一 个 后 缀 中 有 9 
成 立 ， 则 公式 0 gp 在 序列 & 中 成 立 。 模 态 运 算 符 “ 口 ” 称 为 “总 是 ” (always), 34 gp 在 每 个 & 的 后 
缀 中 都 成 立 , Woe 在 序列 中 成 立 。 

我 们 能 够 构造 结合 了 不 同 模 态 运算 符 的 公式 。 例 如 ， 对 每 一 个 8 的 后 级 & ，0 g 成 立 ， 则 公 
ROO p 在 序列 & 中 成 立 。 因 此 存在 一 个 & 的 后 缀 满足 9。 换血 话说， 无 论 我 们 在 序列 & 中 进行 
到 多 远 (产生 一 个 后 级 &)， 这 里 仍 存 在 一 个 更 后 的 后 缓 (Z) 使 p 成 立 。 这 意味 着 存在 无 限 多 
个 上 的 后 缀 使 p 成 立 ， 或 者 换 句 话说 ， 9 在 中“ 无限 经 常 ”(infinitely often) 成 立 。 现 在 考虑 公 
式 9 口 p。 当 存在 的 某 个 后 级 站 满足 口 gp 时 ， 该 公式 在 序列 中 成 立 。 那 么 p 对 每 个 8 的 后 缀 都 
RL. RIEN. p 从 某 个 的 后 级 开始 到 最 后 永远 成 立 。 

在 此 基础 上 ， 我 们 定义 了 两 个 额外 的 模 态 运 算 符 “U” 和 “V”, 运算 符 “U” 称 为 “直到 ” 
nti). EWE: p Uy 断言 g RYH (HGR 使 y 成 立 。 RTE “o” BAB “U” ñ 
特例 ， 因 为 0 gp 二 true Ug. BAR “V” Bey ORR? (release), BWE, 4 yy 永远 满足 (例如 ， 
对 每 个 $8 的 后 缀 ) 或 者 yy 保持 满足 直到 CAL) 某 个 点 使 pg 和 y 都 成 立 ， 那么 pg Vy 对 于 序列 & 
成 立 。 因 此 ，9?“ 释 放 ” 了 少将 要 在 后 面 成 立 的 需求 (虽然 没有 要 求 % 必 须 不 能 在 后 面 的 后 缀 中 
成 立 ) 。 同 样 ,，“ 口 ”是 “V ”的 特例 ， ALD o= false V ç, 
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当 &' 瞩 g， 即 完整 序列 满足 gp 时， 我 们 省 略 后 缀 的 上 标 ， 记 为 Se. HES Ho 代表 序列 & 
满足 LTL 公式 ge HMW, EEEo 代表 & 不 满足 pg。 根据 其 语义 定义 ， Ee KEE e. 因此 ， 
RT EES FRY ERMA Et true Fl £ false. 

我 们 经 常会 在 LTL 规约 中 省 略 括 号 。 因 此， 我 们 会 假定 如 下 优先 级 ; “O 〇 ”有 最 高 优先 级 ， 
其 次 “0”、“ 口 "、“U” 和 “V ”优先 级 依次 降低 。 二 元 运算 符 “U” 向 右 靠 齐 ， 即 pg Uy Uy= 
UYUP: 而 “V” 运 算 符 向 左 靠 齐 。 我们 有 如 下 的 连接 规则 : 

g V y= A C: 2) 
e> y= COVE 
p>yp= (o> p A >p 
Op 一 true U @ 
He 一 ”nm9 
p V y= xC@ U Cp) 
相应 地 ， 可 以 仅 使 用 模 态 运算 符 “@ 〇 ?”、“U” 和 布尔 运算 符 “ 和 A”“- ”定义 更 简单 的 时 序 逻 辑 。 
然而 使 用 其 他 的 运算 符 可 以 提高 公式 的 可 读 性 。 

令 P 为 一 个 允许 多 重 操作 的 系统 。 这 样 的 系统 可 以 被 描述 为 诸如 一 个 转换 系统 或 者 自动 机 。 
P 中 的 每 个 执行 可 以 通过 一 个 状态 序列 来 表示 CL 4. 10 节 ) 。 我 们 使 用 符号 并 且 由 了 表示 系统 了 
生成 的 序列 集合 。 我们 用 Pg 表示 被 描述 为 状态 序列 的 PP 中 的 所 有 执行 满足 ge: H P Ep 表示 
不 是 PP 中 的 所 有 序列 都 满足 Pp。 注意 ， 并 不 总 是 当 了 大 9 时 都 有 PE~9; 事实 上 ， 有 可 能 不 
是 所 有 的 序列 满足 pg， 但 是 同时 其 中 的 某 些 序 列 满足 p。 

举例 说 明 ， 图 5. 1 展示 了 一 个 简单 的 弹 筑 模型 。 release 
REBRI RERE RH. WMS, Se 
可 能 失去 弹性 、 保 持 伸 长 的 状态 或 者 恢复 到 原来 的 形 
Re ARRA ENRE, ns e 和 s,。 其 中 s 是 初 
RA (标记 为 没有 与 其 他 节点 连接 的 进入 箭头 )。 
这 个 系统 足够 简单 ， 可 以 用 底层 逻辑 4 来 描述 。 相 应 
Bh, 每 个 状态 被 标记 为 集合 AP = {eztended，mal- 图 5.1 一 个 弹 赞 模型 
function} 中 的 命题 。 状 态 没有 用 任何 上 述 命 题 标 记 ， 因 此 sE extended N~ malfunction, RA 
2 只 被 标记 为 eztended, WIE s,- extended A 一 malfunction。 最 后 S, 被 标记 为 extended 和 mali- 
function, Bf s, {extended A mal function, 

这 个 系统 拥有 无 限 数目 的 序列 ， 例 如 : 


& = NSSS S25, °° 


extended, 
malfunction 





EL 一 51 S2 $3 S3 S3 S3 S3 °** 
& = Sy S> S: S2 $s S3 53°°° 
作为 示例 ， 让 我 们 来 思考 序列 & 是 否 满足 下 列 LTL 公式 。 

& extended, AA extended 并 没有 使 用 任何 时 序 运算 符 。 因 此 在 序列 & 的 第 一 个 状态 也 
就 是 ss 上 对 它 进 行 解释 。 这 个 状态 没有 被 标记 为 extended， 因此 公式 extended 在 s, AIFF 
列 & 中 不 成 立 。 | 

& 片 Oeztended。 下 一 时 刻 运算 符 〇 在 公式 中 被 用 来 断言 序列 中 的 第 二 个 状态 ， 也 就 是 。 W 
E CMR RICA) 命题 extended, ` 

& HOOextended, #£OOezxtended th ë FAT BRUCK — tL GRE “F F AB he) 
断言 第 三 个 状态 ， 也 就 是 第 一 个 状态 后 继 的 后 继 ， 被 标记 为 extended。 然 而 这 个 状态 s, 
没有 被 标记 为 extended, 
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& FQ extended, AAO extended 读 作 “ 终 将 伸 长 ”， 断 言 序列 中 存在 某 个 状态 满足 extend- 
ed. 确实， 序列 中 的 第 二 个 状态 被 标记 为 eztended, 

& 央 口 extended。 公 式 品 extended 读 作 “总 是 会 伸 长 ”， 断 言 序列 中 的 每 个 状态 都 满足 er- 
tended, (形式 化 地 ， 它 断言 每 个 后 绥 序 列 的 第 一 个 状态 都 满足 extended.) 此 LTL 公式 对 
& 不 能 成 立 ， 因 为 第 一 个 和 第 三 个 状态 都 没有 被 标记 为 extended, 

& FOLlextended. 2XOLlextended 读 作 “最 终 总 是 会 伸 长 ”， 断 言 序 列 中 存在 某 个 状态 ， 
其 所 有 后 续 的 状态 都 被 标记 为 exitended。 它 从 序列 & 的 第 四 个 状态 (也 就 是 s) 出 现 并 
且 之 后 一 直 满 足 。 

& EC extended) U mal function, AR (O extended) U mal function E JE “直到 失效 才能 伸 
长 ”。 如 果 它 要 在 & 中 满足 ， 则 弹簧 必须 直到 弹性 失效 才能 伸 长 。 对 应 其 语义 的 定义 ， 首 
先 ， 为 了 让 公式 能 够 成 立 ， 在 名 中 必须 有 一 个 状态 满足 malfunction, Sexe, MA 
状态 必须 满足 extended, & 中 的 第 一 个 满足 弹性 失效 的 状态 是 第 五 个 状态 ， 也 就 是 。 。 
检查 之 前 的 四 个 状态 ， 我 们 发 现 并 非 所 有 的 状态 都 满足 ” eztended。 特 别 是 & 中 的 第 二 个 
状态 ， 也 就 是 2, PRE extended, 

刚才 我 们 看 到 的 几 个 时 序 公式 的 例子 是 在 单个 序列 上 加 以 解释 。 我 们 现在 讨论 对 于 一 个 系 

统 己 的 时 序 公 式 的 例子 。 回 顾 一 下 ，PF-? 成 立 仅 当 对 于 了 的 每 一 次 执行 < 都 有 Ho MELER 
们 来 看 以 下 对 弹簧 模型 P 的 执行 序列 进行 断言 的 一 些 属 性 ， 

PEO extended。 每 一 个 系统 的 执行 都 会 到 达 弹 赞 伸 长 的 状态 。 因 为 弹 得 不 会 永远 处 在 初始 状 
态 5， 所 以 它 是 成 立 的 。 注 意 ， 如 果 我 们 在 s 上 添加 自 循 环 ， 这 样 的 情况 就 可 能 发 生 改 变 。 

PED extended>Oezxtended) 。 在 已 中 的 每 次 执行 的 每 一 个 状态 中 ， 如 果 弹 簧 没有 伸 长 ， 
那么 它 一 定 在 下 一 状态 伸 长 。 它 是 成 立 的 ， 因 为 只 有 在 s 状态 我 们 有 -~ extended, 对 应 于 
弹簧 模型 ， 在 P 中 的 任意 执行 序列 中 ， 每 一 次 s 发 生 后 都 立刻 有 s, RE. 

P W=0[Jeztended, AXOLlextended 断言 我 们 最 终 将 会 到 达 弹 簧 永远 保持 伸 长 的 状态 。 对 基 
一 个 特定 的 序列 ， 也 就 是 我 们 之 前 标 出 的 序列 护 ， 它 将 不 能 成 立 。 在 这 个 序列 中 extended 
和 和 -extended 永 远 交 替 下 去 。 

Pe OLlextended, AR OLlextended 是 上 面 公式 的 否定 形式 。 为 了 表明 为 什么 这 个 公式 
对 于 了 不 能 成 立 , 我 们 首先 写 一 个 等 价 形式 的 公式 。 我 们 能 够 利用 “ 口 ” 和 “0” 的 二 元 
E: ”8 一口 np 和 -Dp=Onmp。 因 此 ， 可 以 得 到 - QL leztended= [ ]@ 7 extended, 3&4 
公式 断言 从 每 一 个 序列 中 的 状态 OF O, FE — BOR RAS (对 应 于 “0”)， 
包含 可 能 的 当前 状态 ， 有 -eztended 成 立 。 也 就 是 说 ， 存在 无 限 多 的 状态 使 -ertended 成 
立 。 虽 然 对 于 序列 & 它 是 成 立 的 ， 但 是 对 于 P 中 的 其 他 所 有 最 终 弹 簧 永远 保持 伸 长 的 序 
列 都 不 能 满足 。 所 以 公式 0 口 ertended 和 其 否定 形式 在 P 中 都 不 能 满足 。 

PHT \(extended>O> extended), ARO (extended->O- extended) WE EE — 48 E Ji JC 
的 状态 后 ， 存 在 一 个 直接 的 后 继 状 态 满足 ~ extended, 虽然 序列 8 满足 该 属性 ， 但 是 在 所 
有 其 他 序列 中 此 属性 均 不 满足 ， 因 为 它们 最 终 都 卡 在 s, RE. 


练习 5.2. 1 上 述 模型 当然 是 对 弹簧 进行 了 非常 抽象 的 描述 ， 它 忽略 了 当 弹 敌 拉 伸 或 者 释放 
时 的 连续 状态 。 事 实 上 ， 它 假设 每 次 弹簧 被 拉 伸 ， 它 到 达 同一 状态 s， 它 还 假设 了 在 被 拉 伸 后 ， 
弹簧 不 能 继续 被 拉 伸 ， 只 能 释放 。 这 当然 不 是 弹 得 行 为 的 唯一 的 模型 。 考虑 另 一 种 模型 ， 弹 得 可 
能 在 拉 伸 后 失去 弹性 。 在 这 个 模型 中 ， 对 于 状态 s 会 有 两 个 后 继 状 态 ， 一 个 是 弹簧 拉 伸 ， 但 是 
其 弹性 被 破坏 。 而 另 一 个 是 其 弹性 没有 被 破坏 。 使 用 自动 机 描述 这 个 替换 的 模型 ， 并 且 检 验 上 述 
属性 在 该 模型 中 是 否 被 满足 。 
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我 们 在 4.12 节 提 到 过 ， 有 时 会 使 用 公平 约束 来 阻止 系统 不 合理 的 执行 [3]。 例 如 在 本 例 中 ， 
可 以 用 一 个 约束 来 断言 每 个 执行 不 能 永远 保持 在 强 连通 分 量 (s, s) 中 。 该 约束 排除 了 执行 序 
列 名 。 在 这 种 情况 下 ， 系 统 P 可 允许 的 执行 将 会 相应 的 减少 ， 因 此 可 能 满足 更 多 的 属性 。 例 如 ， 
之 前 在 PP 中 不 能 满足 的 属性 0 口 extended 在 添加 此 约束 后 就 可 以 被 满足 。 

在 一 些 情况 下 ， 我 们 更 关注 系统 模型 上 的 状态 转换 而 不 是 状态 本 身 ， 或 者 两 者 都 关注 。 相 应 
地 ， 我 们 可 以 在 转换 序列 或 者 状态 和 转换 间 变 化 的 序列 上 描述 LTL 公式 。 对 于 后 者 ， 假 设 我 们 
在 模型 结构 上 增加 了 转换 名 集合 TN 〈 从 AP 中 的 命题 抽取 )。 每 当 来 自 底 层 逻 辑 V 的 公式 被 允许 
时 ， 可 以 扩展 LTL 的 语法 使 其 能 够 使 用 来 自 TN 的 命题 。 定 义 first) HFN eK hE, 
相应 地 ， 我 们 在 LTL 语义 描述 中 添加 下 面 的 项 ， 

s &* 片 :， 其 中 2€ TN, 仅 当 firer 


5.3 AHE LTL 


下 面 的 公理 和 证 明 规 则 为 命题 化 线性 时 序 逻 辑 提供 了 一 套 完 整 的 公理 系统 [88]。 它 们 能 够 
被 用 于 证 明 给 定 公式 是 有 效 的 ， 也 就 是 被 每 个 序列 满足 〈 在 给 定 的 命题 集合 下 ) 。 
在 这 个 证 明 系 统 下 ， 我 们 假定 所 有 释放 运算 符 “V” 都 被 去 除 ， 例 如 ， 利用 等 式 e V y= 
(C. e) U (中)) 进 行 转换 。 
这 个 公理 系统 包含 三 个 部 分 ， 第 一 部 分 由 下 述 八 个 公理 组 成 。 
Al “peny 
AZ O> p — (Lla — Ow 
A3 [la > (Ga A OOD) 
A4 Orn? _ Ou 
AS OO 内 一 (On 一 口内 
A6 Ole > Op — (a > Op) 
A7 (¿U O< (g V GA (OG U Dp) 
A8 GU D Og 
第 二 部 分 由 一 个 对 命题 逻辑 充分 完备 的 公理 系统 组 成 。 在 系统 中 ， 我 们 不 仅 允 许 用 命题 公 
式 来 实例 化 公理 和 证 明 规则 中 的 模板 变量 ， 还 能 够 用 任意 命题 LTL 公式 进行 蔡 换 。 这 部 分 公理 
允许 我 们 证 明 重 言 式 ， 如 口 4V -DA4。 
最 终 ， 证 明 系 统 也 包含 证 明 规 则 : 
Gen (有 时 序 一 般 化 》 
Lla 


《注意 这 个 证 明 规 则 不 同 于 3. 5 r dh Jr A By — ae EL GEN, ) 

我 们 将 在 6. 6 节 看 到 还 存在 另 一 种 吸引 人 的 方法 以 证 明 命题 LTL 公式 的 有 效 人 性 。 换 句 话说 ， 
存在 一 个 算法 能 够 自动 进行 检验 。 另 外 ， 经 验 表 明 用 于 表达 软件 属性 的 LTL 规约 通常 相当 简短 。 
因此 ， 命 题 化 LTL 尤其 适合 对 有 限 状 态 系统 的 属性 进行 自动 化 验证 。 

使 用 一 阶 黎 辑 表达 状态 属性 的 一 阶 线性 时 序 秘 辑 ， 能 够 表达 更 多 的 属性 。 但 是 ， 另 一 方面 ， 我 们 
也 失去 了 可 判定 性 和 完备 性 [1，137]。 一 阶 线性 时 序 逻 辑 通常 在 演绎 验证 中 使 用 ( 见 第 7 章 )。 


5.4 LTL 规约 示例 
5.4. 1 交通 灯 
. 考 虚 一 个 交通 灯 ， 它 能 够 在 绿色 、 黄 色 和 红色 之 间 变 换 。 其 底层 逻辑 zx 在 这 种 情况 下 是 一 个 
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命题 逻辑 。 tril re, ye 和 gr 分 别 对 应 交通 灯 的 红色 、 黄 色 和 绿色 。 交 通 灯 的 颜色 按 如 下 顺序 
变换 ， 
green — yellow — red — green 
我 们 假定 交通 灯 永 远 变 换 下 去 。 
交通 灯 在 任意 时 刻 仅 能 点 亮 其 中 某 一 种 灯 ， 这 是 系统 的 一 个 不 变量 ， 并 且 能 够 用 如 下 LTL 
表达 
L] (gr A ye) AnmGOoe A re) A Cre A gr) A (gr V ye V re)) 
当 灯 在 绿色 状态 时 ， 它 将 在 变 为 黄色 前 一 直 保 持 绿色 ， 这 可 以 用 LTL 表达 为 ， 
ClCgr — gr U ye) 
因此 ， 正 确 的 灯 的 颜色 变化 被 描述 为 ， 
DCCgr U ye) V (xe U re) V Cre U gr)) (5.1) 

假设 交通 灯具 有 新 的 规则 ， 现 在 红 灯 和 绿灯 之 间 也 添加 一 个 黄 灯 《给 驾驶 员 的 信号 是 “做 好 
. 准备 ”) 。 由 于 上 述 规约 不 允许 这 样 的 情况 ， 所 以 需要 对 它 进行 修改 。 

首先 ， 我 们 尝试 将 规约 修改 为 : 

DCCClgr V re) U ye) V (ye U (gr V re))) 
这 个 规约 是 不 正确 的 。(grV re) U ye 允许 在 变 为 黄 灯 前 等 能 够 在 绿灯 和 红 灯 间 选择 多 次 。 此 外 ， 
这 个 规约 允许 从 绿灯 变换 到 黄 灯 然 后 再 次 变 为 绿灯 。 
一 个 正确 的 规约 应 该 是 : 
O Cer — (gr U (ye A (ye U re)))) 
A Cre — (re U (ye A (ye U gr)))) (5. 2) 
A (ye — (ye Ú (gr V re)))) 

第 一 行 允 许 按 green yellow>red 这 样 的 顺序 。 第 二 行 允 许 按 red—> yellow— green 的 顺序 。 
BAA G.D 的 前 两 行 对 应 的 状态 都 有 黄 灯 亮 ， 但 是 它们 仅仅 处 理 绿灯 或 者 红 灯 亮 后 黄 灯亮 的 
情况 。 它 们 不 会 提供 以 黄 灯 开始 的 情况 下 交通 灯 的 行为 信息 。 因 此 ， 我 们 添加 了 第 三 行 。 

目前 给 定 的 交通 灯 规 约 允 许 它 从 任意 的 颜色 开始 。 如 果 我 们 想 要 指定 初始 颜色 是 红色 ， 我 
们 仅 需 要 添加 一 个 re 的 合 取 。 注 意 ， 如 果 交 通 灯 必须 从 红 灯 开 始 ， 那 么 我 们 将 不 需要 式 (5.2) 
的 第 三 行 。 


5.4.2 顺序 程序 的 属性 


假设 一 个 程序 被 建 模 为 如 4. 4 节 中 的 转换 系统 ， 并 且 底 层 逻 辑 & 可 以 用 于 定义 转换 系统 。 考 
虑 如 下 新 增 的 符号 ; 

en, 转换 a 的 可 执行 条 件 。 

ens, 至少 P, 中 的 一 个 转换 可 执行 。 如 果 P, 也 表示 为 同名 进程 的 转换 集合 ， 那 么 它 能 够 被 
表示 为 V ep En, o 

init 当前 状态 是 一 个 初始 状态 。 在 本 书 中 ， 我 们 经 常用 @ 表示 转换 系统 的 初始 条 件 。 

finish， 当 前 状态 是 一 个 终止 状态 。 如 果 了 是 所 有 转换 的 集合 ， 这 里 就 能 够 表示 为 人 en, 
(回顾 之 前 我 们 假定 所 有 执行 序列 都 是 无 限 序列 ， 因 此 ， 我 们 可 以 通过 对 最 终 状 态 进行 无 
限 重 复 来 扩展 有 限 序列 。) 

在 下 面 的 属性 中 ， 我 们 将 使 用 基于 底层 逻辑 M 表 达 的 y 作 为 状态 断言 。 

部 分 正确 性 ， 与 初始 条 件 和 最 终 断 言 册 相关 。 

mit A OC finish > p) 
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它 断 言 程 序 将 由 满足 init 的 状态 开始 ， 并 且 如 果 到 达 终 止 状态 ， 则 这 个 状态 满足 go 

终止 性 ， 与 初始 条 件 相关 。 

init A Q finish 
它 断 言 程序 将 由 满足 ia 让 的 状态 开始 并 且 最 后 到 达 终 止 状态 。 
”完全 正确 性 ， 与 初始 条 件 和 最 终 断 言 J 相关 。 
init A OC finish A p) 

它 断 言 程序 将 由 满足 iniz 的 状态 开始 并 且 最 终 终止 在 满足 少 的 状态 。 

程序 开始 满足 初始 条件 init 并 且 y 是 一 个 不 变量 ， 也 就 是 在 系统 执行 过 程 中 总 是 成 立 。 

init A Og 





5.4.3 BF 


我 们 在 4. 6 节 已 经 讨论 过 互 斥 问题 。 考 虑 一 对 进程 P MP, 连接 到 一 个 共享 设备 ， 如 打印 
机 。 它 们 不 能 同时 使 用 设备 ， 因 为 从 两 个 进程 同时 打印 会 导致 混乱 的 结果 。 因 此 ， 会 利用 一 个 特 
殊 的 机 制 来 对 它们 进行 控制 。 在 该 机 制 中 ， 每 个 进程 必须 在 代码 中 进入 一 个 特殊 的 区 域 ， 称 为 临 
界 区 。 一 个 进程 只 有 在 临界 区 内 才能 进行 打印 。 为 了 防止 同时 打印 ， 进 程 使 用 相应 的 协议 实现 互 
斥 ， 即 确保 不 可 能 同时 两 个 进程 都 进入 临界 区 。 作 为 协议 的 一 部 分 ， 在 进入 临界 区 之 前 ， 每 个 进 
程 进入 一 个 尝试 区 (trying section)， 在 这 个 区 域内 表明 自己 进入 临界 区 的 目的 。 互 斥 协议 随后 
考虑 各 种 情况 ， 人 允许 一 个 进程 进入 临界 区 ,或 者 让 它 停 在 那里 ， 在 进入 临界 区 之 前 一 直 在 尝试 区 
等 待 。 可 以 在 这 样 的 协议 上 添加 一 些 需 求 。 首 先 ， 让 我 们 定义 一 些 能 用 于 描述 这 些 需 求 的 命题 。 
tryCS， 进程 P, 进入 它 的 尝试 区 ， 也 就 是 试图 进入 它 的 临界 区 。 
inCS, 进程 P, 在 它 的 临界 区 CS, F. 
利用 以 上 命题 ， 我 们 定义 的 第 一 个 属性 是 互 斥 性 : 在 任何 时 间 里 ， 只 有 一 个 进程 能 够 在 它 的 
临界 区 中 。 I 
L] 一 (加 CS，A inCS,) 
另 一 个 是 关于 响应 能 力 (responsiveness) 的 属性 。 我 们 要 求 每 个 尝试 进入 临界 区 的 进程 在 
最 终 都 能 被 允许 进入 。 
Ll CtryCS; — © inCS,) 
AY bë H.R ON GE BET, RTP REE HBR: S-ShBRBATHEREH, € 
将 停留 在 那里 ， 除 非 它 进入 临界 区 。 
器 (zyCS; > ((#ryCS, U mCS,) V [ ]#=yCS,)) 


5.4.4 公平 性 条 件 


现在 我 们 将 使 用 LTL 公式 来 表示 在 4.12 节 中 提 到 的 一 些 公平 性 条 件 。 其 中 ， 我 们 将 会 使 用 
以 下 的 转换 命题 。 

exec, 转换 a 被 执行 。 这 是 一 个 既 包 含 了 状态 又 包含 了 转换 的 例子 ， 其 中 a 是 转换 和 名。 如 
5.2 节 结 束 时 所 述 ， 表 达 这 个 命题 需要 使 用 标记 在 转换 上 的 命题 (或 者 等 价 地 ， 在 状态 上 
增加 关于 下 一 个 执行 的 转换 信息 ) 。 

exece, P, 中 的 一 个 转换 被 执行 。 这 是 V exec, 的 简写 。 

弱 转 换 公 平 性 。 

WTF = À -00D(en, A —ezec,) 


它 同样 可 以 用 下 面 的 等 价 方式 表达 ， ” 
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A (O Den, — LO ezec,) 


<€ T 


强 转 换 公 平 性 。 
STF = A (L ] ó m, — (19 ezec,) 
aT 
弱 进 程 公平 性 。 
WPF 一 A 79 Dene 人 了 erecp ) 
它 同样 可 以 用 下 面 的 等 价 方式 表达 : 


A () lenp, — L] Q exec», ) 


P. 
i 


强 进 程 公平 性 。 





SPF = 人 CIO ene, — L] Q exec, ) 


在 图 4. 8 中 盖 述 的 公平 条 件 之 间 的 关系 现在 能 够 根据 逻辑 蕴含 进行 阐述 。 回 顾 一 下 p> yo h 
意思 是 p 强 于 yp， 因此 我 们 有 STF+SPF, SPF>WPF 和 3STF 一 HTF。 


练习 5.4.1 考虑 如 下 的 交通 灯 规 约 〈5. 2) 的 另 一 种 规约 。 


Dl((gr>(gr U (ye Ure))) 
A Cre>(re U (ye Ugr))) (5. 3) 
A Cye—> (ye U (ye V re)))) 
解释 一 下 为 什么 这 个 规约 不 能 充分 捕获 信号 灯 之 间 顺 序 的 描述 。 GER: 注意 直到 “U” 的 精确 
定义 。) 


9.5 无 限 字 上 的 自动 机 

自动 机 理论 在 计算 机 科学 中 扮演 着 重要 的 角色 。 各 种 类 型 的 自动 机 被 用 于 编译 、 自 然 语 言 
分 析 、 复 杂 性 理论 和 硬件 设计 等 领域 。 同 样 ， 自 动机 理论 也 非常 适合 领域 建 模 和 系统 验证 。 

有 限 自 动机 主要 是 在 有 限 转换 系统 上 的 状态 机 。 使 用 转换 系统 对 程序 进行 建 模 ， 并 且 使 用 
自动 机 描述 程序 属性 具有 很 大 的 好 处 这 意味 着 可 以 使 用 同一 种 表达 方式 描述 程序 和 它 的 规约 。 
随后 可 以 利用 图 算法 执行 自动 验证 ， 我 们 将 在 第 6 章 进 一 步 阐述 。 

在 无 限 字 上 的 有 限 自动 机 ， 称 作 w 自动 机 ， 能 够 描述 程序 的 执行 。 系 统 的 属性 也 可 以 用 w 自 
动机 来 描述 或 者 翻译 ， 例 如 ， 从 LTL 转换 成 这 样 的 自动 机 ， 我 们 将 在 6. 8 节 进 行 介绍 。 

建 模 后 的 系统 能 够 呈现 出 无 限 和 有 限行 为 。 就 像 我 们 已 经 讨论 过 的 ， 为 了 避免 处 理 这 两 种 
行为 ,我 们 可 以 将 有 限行 为 转换 为 无 限行 为 。 这 可 以 通过 使 用 一 个 特定 的 no_op 转换 来 实现 ， 它 
不 政变 系统 的 状态 并 且 仅 当 所 有 其 他 转换 不 可 执行 的 时 候 才 可 执行 。 因 此 ， 我 们 可 以 仅 关注 在 
无 限 字 上 的 有 限 自 动机 ， 即 x° POs, HTB ARERR, Lo 表示 无 限 次 数 的 迭代 ， 
能 够 被 o 自动 机 接受 的 语言 称 为 w 正则 语言 。 每 个 这 样 的 语言 能 够 用 字母 表 中 的 字母 及 运算 
符 十 (结合 }、. 联结 )、* (表示 0 或 多 次 重复 ) 和 ww 无 限 多 次 重复 ) 构成 的 表达 式 来 表达 。 

我 们 在 第 4 章 讨论 过 将 系统 行为 建 模 为 状态 序列 、 转 换 序 列 或 者 包含 两 者 的 交替 序列 的 各 种 
可 能 性 。 为 了 与 之 前 的 选择 保持 一 致 ， 我 们 通常 将 系统 行为 建 模 为 状态 序列 。 相 应 地 ， 我 们 将 会 
定义 能 够 识别 状态 序列 的 自动 机 。 由 于 自动 机 通常 在 转换 上 而 不 是 在 状态 上 添加 标签 ， 我 们 定 
义 的 自动 机 可 能 看 上 去 不 那么 传统 。 但 是 这 样 的 定义 也 有 其 优点 ， 例 如 将 在 6.8 节 描 述 的 从 
LTL 到 自动 机 的 转换 将 会 更 为 直接 。 同 样 ， 我 们 也 可 以 通过 对 状态 和 转换 均 进行 标记 来 扩展 模 
型 ， 这 将 使 得 我 们 的 自动 机 可 以 识别 状态 和 转换 交 蔡 的 序列 。 由 于 此 类 扩展 简单 明确 ， 因 此 相关 


77 . 


78 
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细节 在 此 不 再 著述 。 

人 们 应 该 考虑 到 w 自动 机 并 不 是 真正 意义 上 实际 地 识别 执行 ， 由 于 执行 是 无 限 的 ， 其 至 识别 
其 中 一 个 都 会 无 法 终止 。 然 而 ，w 自动 机 提供 了 一 个 有 限 的 方式 来 表示 无 限 的 执行 ， 并 且 拥 有 一 
个 有 限 的 结构 。 这 样 的 有 限 性 使 得 设计 自动 验证 算法 成 为 可 能 。 

无 限 字 的 w 自动 机 中 最 简单 的 一 类 是 Biichi 自动 机 [22]。 在 此 ， 我 们 将 会 描述 它 的 一 个 变 体 ， 其 
中 标签 在 状态 上 而 不 是 转换 上 定义 。 一 个 Bichi 自动 机 A 是 一 个 六 元 组 (X, S, A, I, L, P, KP: 

。 SEARSHRR. 

。S 是 有 限 状态 集合 。 
4SSXS 是 转换 关系 。 

ICS 是 开始 状态 集合 。 

。 工 : SE 是 状态 标签 的 映射 函数 。 

* FCS 是 接受 状态 集合 。 

在 Bichi 自动 机 的 图 表示 中 ， 我 们 用 没有 连接 其 他 任何 节点 的 进入 箭头 标记 一 个 初始 状态 。 
我 们 使 用 双 圆 标记 接受 状态 。 在 如 图 5.2 所 示 的 自动 机 例子 中 ， 
2= (as Bs S= (s, s), I=(s o sy}, BFP REE L (s) = 
a MIL (s,)=B3FH F={s,}. 

A 在 v 上 的 一 个 运行 p 对 应 于 在 自动 机 图 中 从 初始 状态 开始 
的 一 个 无 限 路 径 ， 其 中 在 该 路 径 上 的 节点 被 标记 为 对 应 o 中 的 字 
母 。 我 们 称 ”是 自动 机 .4 的 一 个 输入 ， 或 者 说 4 读 取 了 um。 从 形 
式 化 的 角度 ， 令 "是 马上 的 一 个 字 《〈 字 符 串 ， 序 列 ) 。 我 们 还 能 够 将 v 表达 为 函数 v : Nay, 
Bu=v0)v(1)0(2) …。A 在 上 的 一 个 运行 是 一 个 映射 函数 p : Nat->S， 其 中 : 

° p40) ET， 第 一 个 状态 是 初始 状态 。 

”对 于 120, (PG), IDEA 运行 中 的 第 i 个 状态 p(i) 到 第 i 十 1 个 状态 pG+) 的 

BRE FER RK A. 

° vERi PAR, WHE v(i) 和 状态 p(i) 的 标签 LC(p(i)) 是 相间 的 ， 也 就 是 Yi 一 LCoGD)。 

令 inf(p) 表示 在 运行 p( 将 运行 看 做 一 个 无 限 路 径 ) 中 无 限 经 常 出 现 的 状态 集合 。 注 意 ， 
inf《p) 是 一 个 有 限 集合 。 当 inf(p) 站 F 关 名 ， 也 就 是 当 某 个 接受 状态 在 bo 中 无 限 经 常 出 现时 ， 
Biichi 自动 机 .4 在 无 限 字 上 的 运行 p 是 可 接受 的 。 

Büchi 自动 机 A 上 的 语言 CC(A) 己 区 由 所 有 .4 接受 的 字 组 成 。 对 于 图 5. 2 所 示 的 在 5= (a, B) 
上 的 自动 机 ， 考虑 仅 含有 “ 的 无 限 字 a*。 在 这 个 字 上 的 自动 机 A 的 一 个 运行 必须 由 状态 s, 开始 ， 
因为 % 是 其 中 仅 有 的 一 个 标记 了 a 的 状态 。 然 后 继续 运行 ， 永 远 通 过 s. F a° 是 可 被 自动 机 A 
接受 的 ， 并 且 因 此 a*E .L(A)。 这 是 因为 状态 s 是 接受 状态 并 是 无 限 经 常 出 现 。 

考虑 字 及， 这 个 字 由 无 限 多 个 8 组 成 。 在 这 个 字 上 自动 机 的 〈 唯 一 ) 运行 开始 于 并 且 保 持 在 
状态 ss 。 这 不 是 一 个 可 接受 的 运行 ， 因为 没有 出 现 无 限 多 次 的 接受 状态 (事实 上 ， 唯一 的 接受 状 
态 BARA MED. Aik, BELA). BE: 考虑 包含 c 和 8 之 间 交 替 的 字 ， 记 做 Caf)”. # 
对 应 的 运行 由 s 开始 并 且 在 s 和 5 之 间 永 远 交 蔡 下 去 。 既 然 5 是 一 个 接受 状态 并 且 出 现 无 限 多 
次 ， 所 以 这 个 字 在 CC4) rh. 

在 图 5. 2 中 自动 机 的 语言 能 够 用 w 正则 表达 式 (8' a)* 来 表示 ， 这 个 记号 描述 了 如 下 的 无 限 
重复 : 一 个 有 限 〈 可 能 是 空 的 ) 8 序列 ， 跟 随 一 个 <。 因 此 ， 当 一 个 在 了 一 1w， 0), 上 的 无 限 字 包 
会 无 限 多 次 a 时 ， 它 能 被 这 个 自动 机 接受 。 如 上 所 示 ， 这 包含 了 字 (aB)*， 也 就 是 一 个 由 a 开始 
的 在 a 和 8 之 间 的 无 限 交替 。 自 动机 4 同样 接受 字 a” 和 RaR aaa 





图 5.2 一 个 Bichi 自动 机 
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5.6 使 用 Bichi 自动 机 作为 规约 

在 上 文 我 们 提 到 ， 使 用 自动 机 的 好 处 之 一 是 可 以 使 用 同一 种 方式 来 表示 被 建 模 系统 及 其 属 
性 。 我 们 能 够 使 用 Bichi 自动 机 A 二 (2”，S，A，I， L, P> 表示 一 个 系统 。 它 包含 状态 集合 S. 
状态 间 的 直接 后 继 关 系 为 ASSXS， 即 (s，r) EA， 其 中 +r 可 以 由 s 通过 执行 一 个 原子 转换 获得 。 
初始 状态 集合 为 ISS. 

标签 函数 上 : S—2% 为 每 个 状态 标注 一 个 来 自 有 限 集合 4P 的 命题 集合 。 这 些 命题 在 状态 中 
成 立 ， 而 AP 中 的 其 他 命题 在 此 状态 中 不 能 被 满足 ( 见 4.8 节 )。 

对 于 表示 系统 的 自动 机 ， 我 们 通常 设置 所 有 状态 S 都 是 接受 状态 。 事 实 上 ， 我 们 仅 在 建 模 
系统 加 入 了 一 些 公 平 条 件 时 才 区 分 接受 和 非 接受 状态 [3]。 因 此 ， 接 受 状 态 集合 有 时 被 称 为 系统 
的 公平 性 条 件 9 。 

当 从 三 给 定 下 一 个 输入 字母 ， 对 下 一 个 状态 存在 选择 时 ，Biichi 自动 机 是 非 确定 的 。 也 就 是 
说 ， 存 在 两 个 状态 n» n € SË L(r)=L(r,), 并 且 7，r; € I, 或 者 从 同一 状态 s€ S 存在 至 
少 两 个 转换 (s, ro (s, ra EA。 非 确定 Buchi 自动 机 对 给 定 输入 可 能 存在 不 止 一 个 的 执行 。 
注意 对 应 于 接受 的 定义 ， 如 果 对 存在 一 个 接受 执行 ， 那 么 "就 被 4 的 语言 CC4) 包含 。 

系统 A 的 属性 规约 能 够 用 在 与 A 相同 的 字母 表 上 构建 的 自动 机 6 来 描述 。 当 系统 A 和 规约 B 的 
语言 之 间 存 在 包含 关系 也 就 是 C(A)SL(B) 时 ， 系 统 .A 满足 规约 B。 因 此 ， 待 建 模 系统 的 每 一 个 
行为 必须 包含 在 规约 允许 的 行为 中 。 这 个 简单 的 规约 机 制 能 够 被 用 作 自动 验证 的 基础 ， 我 们 将 
在 下 一 章 进一步 阐述 。 

实际 上 ， 如 果 规 约 自动 机 中 每 个 状态 分 别 对 应 于 命题 变量 AP 中 一 个 简单 的 赋值 ， 那 么 其 效 
率 有 时 并 不 高 。 考 虑 在 图 5. 3 左边 显示 的 自动 机 。 它 含有 三 个 状态 ，r， 和 7+,。 这 些 状态 有 一 个 
共同 的 后 继 和 前 驱 状态 9。 这 种 多 个 状态 拥有 共同 的 后 继 和 前 驱 的 情况 是 极其 常见 的 。 为 了 获得 
更 小 和 更 简单 的 自动 机 表示 ， 我 们 将 这 些 状态 合并 为 一 个 状态 ， 有 其 体 做 法 是 蔡 换 共享 相间 的 后 
EBI 3 BJ RAS ERAP, ri, r Al rs 分 别 对 应 赋值 (Al, (A, B) MID) 为 一 个 被 标记 为 
满足 这 些 赋 值 的 命题 公式 的 状态 r. RE q 的 标签 (B) 被 替换 为 对 应 命题 公式 ("A) A B. 简化 


的 自动 机 如 图 5. 3 右边 所 示 。 
C AAB 


oe 


图 5.3 一 个 Bichi 自动 机 的 两 种 表示 
相应 地 ， 我 们 需要 改变 自动 机 的 定义 ， 事实 上 唯一 的 改变 是 每 个 状态 现在 对 应 于 AP 上 的 一 
些 贱 值 。 因 此 ， 我 们 的 标签 画 数 变 为 工 ; S2”, Hho 表示 AP 子 集 的 集合 。 这 样子 集 的 集 
合 能 够 使 用 一 个 命题 公式 表示 。 然 后 ， 每 个 状态 s€ S 就 可 以 映射 到 公式 p.， 相 应 地 ，* EAR 








加 ”对 于 各 种 公平 性 条 件 ， 不 足以 在 自动 机 上 标注 Bichi 可 接受 条 件 RE, 由 于 各 类 o 自动 机 之 疤 的 等 价 性 ， 
可 以 将 此 自动 机 转换 到 能 表达 原始 系统 的 公平 序列 的 另 一 种 等 价 类 ) 。 我 们 能 够 使 用 含有 更 多 结构 的 接受 条 件 
《例如 ， 将 在 6.4 节 描述 的 广义 Bichi RH), 
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加 的 标签 均 满 足 po ÆR 5. 3 的 例子 中 ， 公 式 AV OB) 对 应 于 状态 ( (A), (A, B), Ø). X 
些 状态 中 的 每 一 个 都 满足 该 公式 ， 而 状态 (A) 不 满足 。 注 意 : 尽管 自动 机 的 定义 改变 了 ， 但 自 
动机 可 识别 的 语言 并 未 扩展 ， 而 是 提供 了 一 种 更 简洁 的 表达 方式 。 

我 们 需要 重新 定义 这 种 自动 机 的 运行 。 事 实 上 ， 只 需要 对 运行 定义 中 的 最 后 一 个 条 件 进行 
适当 的 改变 即 可 ， 也 就 是 输入 字母 与 状态 上 的 标签 一 致 的 要 求 。 对 输 人 字 的 字母 表 仍然 是 
D= 2", ELOD) 表示 命题 公式 的 情况 下 ， 对 应 条 件 可 以 描述 为 ， 

DELP) 

在 这 个 扩展 上 下 文中 ， 非 确定 性 也 需要 重新 廊 慰 地 和 定义。 如 上 所 述 ， 当 系统 谈 取 来 自 SH 
的 输入 字母 时 存在 下 一 个 状态 间 的 选择 ， 那 么 自动 机 是 非 确定 的 。 在 当 存 在 两 个 状态 r, r € S 
有 Llr)AL(r,) 关 falsel(“ 尖 ”在 这 里 的 含义 是 “ 非 逻辑 等 ”， 也 就 是 这 个 连接 词 不 是 一 个 忒 盾 )， 
并 且 r,，r; E71, 或 者 从 同一 状态 s€ S 存在 至 少 两 个 转换 G, n), (s, n) EA 时， 就 存在 不 确 
定性 。 对 应 于 这 样 的 定义 ， 后 面 如 图 5.5 所 示 的 自动 机 是 确定 的 ， 而 如 图 5.6 所 示 的 自动 机 是 非 
确定 的 。 

当然 ， 如 果 一 个 状态 上 标注 的 条 件 逻 辑 等 价 于 false, 那么 此 状态 能 够 被 移 除 ， 相 应 的 进 边 
和 出 边 也 将 一 并 删除 。 这 是 因为 这 个 状态 上 的 条 件 不 能 满足 任何 一 个 赋值 ， 因 此 也 不 能 参与 到 
任何 的 运行 中 。 此 外 ， 相 关 的 简化 包括 移 除 那些 不 能 从 初始 状态 到 达 的 节点 ， 同 时 自然 也 包括 它 
们 的 所 有 进 边 和 出 边 。 


Bichi 自动 机 规约 示例 


如 图 5.4 所 示 的 自动 机 描述 了 两 个 进程 不 能 同时 进入 它们 的 临界 区 (CR, 和 CR, ) WERE 
性 。 命 题 inCR。 (inCR,) 标记 进程 Pu,(P,) 在 它 的 临界 区 内 时 的 状态 。 互 斥 需求 可 以 使 用 LTL 表 
示 为 口 "CinCR。A inCR,)。 值 得 注意 的 是 ， 在 Buchi 自动 机 中 不 存在 标记 为 inCR, A inCR, 的 状 
态 。 因 此 ， 对 应 于 Biichi 自动 机 执行 的 定义 ， 不 存在 包含 这 样 标签 的 执行 。 因 此 ， 也 就 自然 不 存 
在 自动 机 能 够 接受 并 且 能 够 到 达 状 态 inCR, AinCR, 的 执行 。 

图 5. 5 表示 的 是 一 个 描述 活性 (liveness) 属性 的 自动 机 。 直 观 而 言 ， 活 性 属性 描述 的 是 某 
些 最 终 将 会 满足 的 属性 [83]。 图 5. 5 中 的 属性 断言 一 个 进程 将 会 最 终 进 入 它 的 临界 区 ， 用 LTL 
表示 为 0 inCR。。 


—(inCR, A inCR,) —inCR, inCR, 


s: 


图 5.4 BR 图 5.5 活性 属性 








5.7 确定 性 Bichi 自动 机 

确定 性 Bichi 自动 机 在 概念 上 似乎 比 非 确 定性 自动 机 简单 。 不 过 ， 存 在 没有 与 之 等 价 的 确定 
性 自动 机 的 非 确定 性 Btichi 自动 机 。 

Y AP={A} } 上 无 限 字 的 语言 包含 了 那些 在 其 上 人 满足 有 限 多 次 的 字 ， 这 意味 着 被 这 个 自动 
机 接受 的 每 个 字 都 会 有 一 个 后 名 之 上 没有 状态 满足 A。 如 图 5.6 所 示 的 语言 能 够 被 非 确定 性 
Bachi 自动 机 接受 ， 其 中 状态 s 被 标记 为 true, 或 者 等 价 地 标记 为 AV 一 A， 因此 ， 当 自动 机 处 于 
状态 s 并 且 下 一 个 输入 字母 是 A 时 ， 存 在 保持 在 s。 和 转换 到 s 两 种 选择 ， ff A o E, B Wa 
保持 自 循环 ;, 直到 某 个 点 当 它 “ 猜 测 ” 将 不 再 存在 满足 A 的 状态 时 。 然 后 它 将 跳 转 到 s, 
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自动 机 是 非 确定 的 ， 因 此 必然 存在 一 个 正确 的 猜测 从 而 接受 v 


图 5.6 接受 A 满 足 有 限 多 次 的 字 的 自动 机 


我 们 将 要 说 明 不 存在 一 个 确定 性 自动 机 能 够 识别 这 个 语言 [141]。 假 设 这 里 存在 一 个 确定 性 
Bichi 自动 机 能 够 识别 这 个 语 育 ， 那 么 它 必须 在 读 取 一 个 有 限 字符 串 (CA) (n 20) 之 后 到 达 
某 个 接受 状态 ， 否 则 字 CA)” 将 不 能 被 接受 。 (回顾 在 确定 性 自动 机 中 ， 对 于 每 个 输入 字 最 多 
存在 一 个 运行 .从 这 个 状态 继续 ， 确 定性 自动 机 必须 在 对 某 个 吉之 0 的 AACA)" Z JE 2 
达 一 个 接受 状态 。 因 此 ， 这 个 自动 机 将 会 接受 包 售 无 限 多 个 满足 A 的 状态 的 形 如 OA)» 
ACA ACA) … 的 字 ， 这 就 会 形成 矛盾 。 

当 我 们 关注 这 个 语言 的 补 集 时 会 发 现 一 个 有 趣 的 现象 ， 也 就 是 包含 无 限 多 个 A 的 无 限 字 语 
言 能 够 被 一 个 确定 性 自动 机 识别 。 以 图 5.2 所 示 的 自动 机 为 例 ， 假 设 = A, =A, Wu DU E 
示 这 个 现象 。 因 此 ， 我 们 能 够 得 到 如 下 结论 ， 能 够 被 确定 性 Buchi 自动 机 接受 的 语言 集合 在 补 操 
作 下 不 封闭 。 

如 果 某 个 字母 表 瑟 上 的 语言 CC4) 能 被 一 个 确定 Bich 自动 机 .A 识别 ， 那 么 它 需 要 满足 下 述 
条 件 : 

对 于 在 三 上 的 每 个 无 限 字 c，c 在 CCA4A) 中 当 且 仅 当 o 中 存在 无 限 多 的 有 限 前 绎 ， 

并 且 这 些 前 级 可 以 对 应 到 一 个 在 A 中 可 到 达 接 受 状 态 的 运行 。 

以 上 条 件 源 于 这 样 的 事实 ; 在 确定 性 的 Bichi 自动 机 中 ， 对 应 每 个 字 以 及 对 应 字 的 每 个 前 
缀 ， 最 多 存在 一 个 相应 的 执行 。 


5.8 其 他 规约 机 制 

在 第 6 章 中 我 们 将 表明 ， 每 个 命题 LTL 规约 都 能 够 被 转换 为 对 应 的 Bichi 自动 机 。 因 此 ， 
Bichi 自动 机 的 表达 能 力 〈 能 表述 的 规约 或 者 语言 的 集合 ) 至 少 与 LTL 相当 。 事 实 上 ， 前 者 具有 
严格 的 、 更 强 的 表达 能 力 。 举 例 来 说 ，LTL 不 能 表达 A 至 少 在 偶数 4 
状态 中 《从 0 开始 计数 ) 成 立 的 无 限 字 语言 [147]。 能 够 识别 这 个 
语言 的 Buchi 自动 机 如 图 5.7 所 示 。 注 意 ， 我 们 没有 对 奇数 状态 强 
加 任何 的 限制 ， 因此 A 可 能 在 一 些 奇 数 状态 中 成 立 。 进 一 步 地 ， 如 
果 需 要 A 不 能 在 任何 奇数 中 成 立 ,我 们 就 能 够 简单 地 使 用 LTL 表 W57 识别 4 在 偶数 位 置 
达 这 个 语言 。 成 立 的 字 的 自动 机 


下 面 的 规约 机 制 与 Biichi 自动 机 具有 同样 的 表达 能 力 ， 
一 元 二 阶 逻 辑 [22]。 这 个 逻辑 能 够 在 包含 下 述 组 件 的 数学 结构 上 进行 描述 : 
Nat 自然 数 集合 。 
Qas Qa, 一 元 关系 ， 每 个 这 样 的 关系 定义 了 满足 它 的 自然 数 子 集 。 这 样 的 关系 QS 
LTL 命题 A 通过 以 下 情况 进行 关联 ， 当 A 在 序列 的 第 i 个 状态 中 成 立时 ，Q (Gi) RY. 
< 是 自然 数 上 通常 的 序 关 系 。 
”succ 是 自然 数 上 的 后 继 关 系 。 
0 是 表示 最 小 自然 数 的 常量 。 
值得 注意 的 是 ，succ 和 0 能 够 通过 使 用 二 关系 消除 。 作为 二 阶 逻辑 ， 它 允许 在 简单 变量 
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和 变量 集合 上 使 用 量词 。 例 如 ，3 Xp 是 一 个 一 元 二 阶 导 辑 公式 ， 其 中 天 是 自然 数 变量 
的 集合 (然而 Q。，Qs ，… 是 一 元 关系 “常量 ”)。 在 中 ， 我 们 可 以 使 用 >yEX， 其 中 y 
是 一 个 简单 变量 〈 在 自然 数 上 ) 。 相 应 地 ，A( 至 少 ) 出 现在 所 有 偶数 位 置 这 一 属性 能 够 
被 表示 为 : 
3X(0€ X A VyVzuccly > (y € X=— xz € X)) A Vyly € X — Qw) 
这 个 公式 断言 这 里 存在 包含 0 〈 记 做 0EX) 的 自然 数 和 集合 ， 并 且 对 于 每 一 个 自然 数 
对 ， 其 中 的 一 个 是 另 一 个 的 后 继 ，X 只 包含 其 中 一 个 元 素 。 集 合并 包含 在 关系 Q, 中 
《对 应 于 命题 4) 。 它 可 被 如 图 5.7 所 示 的 自动 机 的 接受 序列 集合 满足 。 

包含 量词 的 LTL。 我 们 能 够 通过 允许 二 阶 量 词 来 扩展 LTL。 量 化 的 变量 能 够 被 量词 范围 内 的 
所 有 其 他 命题 使 用 。 上 面 的 属性 就 能 够 用 包含 量词 的 LTL 表示 : 

3X((X ADCX 一 OnmX) A |C X OX) A OX >A) 

w 正则 表达 式 。 它 们 是 对 于 无 限 和 迭代 运算 符 “ow” 扩 展 的 正则 表达 式 。 上 述 属 性 能 够 使 用 mw 
正则 表达 式 AD RIK, RAS RAE 2” 上 的 任何 状态 ， 用 A 表示 任何 满足 A 的 

一 元 一 阶 逻 辑 可 以 由 上 面 提 到 的 一 元 二 阶 逻 辑 获得 ， 它 不 允许 集合 变量 (以 及 其 上 的 量词 )。 
它 的 表达 能 力 等 价 于 LTL. 

直观 而 言 ，Biichi 自动 机 使 用 其 有 限 状 态 结构 作为 一 个 有 限 内 存 。 需 要 无 界 内 存 的 属性 不 能 
使 用 这 个 规约 机 制 描述 ， 并 且 也 不 能 够 使 用 表达 能 力 更 弱 的 LTL 描述 。 虽 然 实际 上 限制 程序 为 
有 限 多 个 状态 ， 但 是 算法 的 形式 化 描述 通常 在 规约 中 使 用 无 界 结构 。 这 通常 能 生成 更 加 直观 和 
简洁 的 规约 。 

考虑 一 下 在 某 个 有 限 域 M 上 的 fifo (先进 先 出 ) 消息 传递 fifo 队列 的 抽象 描述 不 会 对 缓冲 
区 的 大 小 进行 限制 。 当 然 如 果 我 们 想 要 这 么 做 ， 也 可 以 添加 这 样 的 限制 ; 一 个 给 定 的 fifo 队列 的 
大 小 一 般 是 一 定 的 ， 基 于 这 样 的 前 提 ， 理 论 上 我 们 当然 能 够 生成 相应 的 有 限 状 态 的 规约 。 这 样 的 
规约 考虑 了 在 fifo 机 制 允 许 下 并 且 在 限制 了 消息 数目 的 前 提 下 所 有 可 能 的 队列 内 容 。 然 而 这 样 将 
无 法 直观 地 描述 那些 不 包含 特定 限制 的 抽象 fifo, 

很 多 标准 结构 ， 如 fifo 队列 ， 不 能 够 直接 使 用 Bichi 自动 机 或 者 LTL 公式 表达 [133]。 假 设 
用 命题 add, 表示 将 一 个 元 素 z 揪 入 到 队列 中 的 操作 ， 并 且 从 队列 的 顶部 移 除 一 个 元 素 的 操作 用 
remove, 表示 。 在 这 种 情况 下 ，Biichi 自动 机 的 有 限 内 存 容量 不 足以 描述 对 应 于 fifo 行为 的 add, 
All remove, 序列 集合 。 

规约 机 制 的 表达 能 力 不 是 我 们 唯一 需要 考虑 的 重要 因素 。 我 们 也 应 该 考虑 检验 给 定 系统 
《使 用 某 种 规约 机 制 表达 ， 如 自动 机 ) 是 否 满足 给 定 规约 的 复杂 性 。 例 如 ， 昌 然 一 元 一 阶 或 二 阶 
逻辑 分 别 与 LTL 或 Bachi 自动 机 具有 同样 的 表达 能 力 ， 但 它们 并 不 常用 于 模型 检验 。 这 是 因为 
它们 允许 过 于 简洁 的 属性 表示 ， 以 至 于 将 表示 翻译 为 自动 机 或 者 等 价 的 LTL 公式 ， 可 能 导致 
NONELEMENTARY ( 非 初等 函数 ) 级 爆炸 [134]。 

对 于 给 定 的 有 限 状 态 系统 ， 检 验 一 元 一 阶 或 二 阶 逻 辑 规 约 的 复杂 性 在 公式 的 大 小 上 一 般 是 
NONELEMENTARY。 这 可 能 无 法 使 用 这 样 简洁 的 规约 机 制 用 于 模型 检验 。 另 一 方面 ， 对 于 一 
个 有 限 状态 系统 检验 LTL 规约 是 PSPACE 完全 的 〈 见 6.9 节 )。 然 而 ， 我 们 能 够 举例 说 明 某 些 用 
一 元 二 阶 〈 一 阶 ) 逻辑 公式 描述 的 规约 ， 其 等 价 的 Bichi 自动 机 (LTL 公式 ) 的 最 小 规模 已 达到 
此 一 元 二 阶 〈 一 阶 ) 逻辑 大 小 的 NONELEMENTARY 级 别 。 因 此 ， 我 们 能 够 说 本 质 上 高 复杂 度 
依赖 于 需要 验证 的 属性 而 不 是 所 使 用 的 规约 机 制 。 此 外 ，NONELEMENTARY 爆炸 不 是 在 任何 
一 元 一 阶 或 者 二 阶 返 辑 属性 的 情况 下 都 是 如 此 。 因 此 ， 如 MONAL] 之 类 的 系统 ， 能 够 成 功 地 
验证 用 一 元 二 阶 逻 辑 表 达 的 属性 。 
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事实 上 ， 对 于 大 多 数 的 用 途 而 言 ， 使 用 有 限 的 小 LTL 属性 去 描述 大 多 数 的 硬件 和 软件 的 需 
REZEPT. 


5.9 复杂 的 规约 

经 验 表明 有 少量 简单 属性 是 很 多 系统 规约 所 共有 的 [93]。 另 一 方面 ， 当 然 也 存在 一 些 特别 
的 系统 需要 满足 茶 些 特别 的 、 非 标准 的 属性 。 

举 一 个 典型 案例 ， 描述 功能 交互 。 一 个 软件 系统 通常 提供 一 些 功 能 。 一 个 典型 的 例子 是 电话 
交换 机 ， 它 需要 处 理 很 多 不 同 的 服务 ,例如 简单 呼叫 、 人 免费 呼叫 、 会 议 寿 蚜 等 。 当 添加 一 个 新 功 
能 时 ， 要 求 它 的 行为 不 会 对 已 有 的 功能 产生 非 预 期 的 影响 。 为 如 上 所 述 的 功能 交互 提供 一 个 精 
确 的 规约 是 一 项 困难 的 挑战 。 

另 一 个 例子 涉及 遗留 代码 的 一 致 性 。 我 们 想 要 保持 新 开发 代码 和 某 些 老 代 码 的 行为 保持 一 
致 。 老 代码 的 规约 可 能 不 保存 在 文档 中 ， 并 且 可 能 仅仅 被 少数 老 程 序 员 知 道 。 

在 这 些 例子 中 ,使 用 规约 机 制 描述 系统 需要 的 属性 仅仅 提供 了 部 分 解决 方法 。 我 们 可 能 需 
要 比较 不 同 版 本 或 者 系统 的 不 同 部 分 ， 并 且说 明 它们 在 行为 上 是 一 致 的 。 比 较 不 同系 统 的 行为 
能 够 使 用 第 8 章 介绍 的 进程 代数 的 上 下 文 实现 。 其中， 不 同 的 系统 使 用 不 同 的 标准 进行 比较 。 然 
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而 ， 人 处理 如 功能 交互 和 遗留 代码 的 一 致 性 问题 还 没有 得 到 完美 的 解决 ， 并 且 对 软件 工程 师 形成 


实际 的 挑战 。 


5.10 规约 的 完整 性 

我 们 很 清楚 一 个 系统 必须 满足 它 的 规约 ， 然 而 很 难 确 定 是 否 已 给 定 足 够 的 规约 。 当 设计 一 
个 新 系统 时 ， 并 不 一 定 所 有 的 重要 需求 都 已 经 提出 了 。 有 时 甚至 在 部 署 系 统 后 ， 还 有 一 些 重 要 的 
约束 没有 考虑 。 在 很 多 情况 下 ， 可 以 算法 性 地 检验 给 定 的 需求 集合 内 彼此 会 不 会 存在 矛盾 (DW, 
6. 11 节 )。 然 而 ,检验 约束 集合 是 否 完整 ， 即 是 否 包 括 了 每 个 合理 的 规约 ， 通 常 是 不 可 行 的 ， 这 
是 因为 我 们 永远 可 能 赋予 系统 新 的 规约 。 

作为 一 个 不 完整 规约 的 例子 ,我们 考虑 一 个 系统 ， 其 输入 为 数组 变量 序列 A[1]，…，A[n]， 
输出 为 上 述 变量 的 总 和 sum。 我 们 能 够 描述 ， 在 初始 条 件 下 ，A[1]，…，A[n] 以 及 BAR 


数 。 在 终止 时 ， 有 sum 一 SIAL). 


这 是 一 个 不 完整 的 规约 。 把 0 赋值 给 所 有 数组 变量 和 sum 满足 这 个 规约 。 而 我 们 “忘记 ” 提 
到 的 是 数组 变量 在 执行 中 不 会 改变 。 现 在 就 完整 了 吗 ? 还 不 完整 ， 我 们 还 需要 规定 n 在 执行 中 不 
会 改变 。 

规约 的 完整 性 基本 依赖 于 设计 者 的 独创 性 。 不 过 本 章 中 已 经 提 到 了 软件 系统 的 一 些 “标准 ” 
属性 ， 我 们 在 建立 需求 集合 时 也 可 以 参照 比较 。 


规约 练习 
练习 5. 10. 1 给 出 4.6 节 中 Dijkstra 临时 的 互 斥 算法 和 Dekker ERFAR LTL 规约 。 
练习 5. 10. 2 描述 一 个 电梯 系统 的 属性 ， 使 用 如 下 命题 : 
at, ”电梯 在 第 i 层 
go_tt AREA 
go_down 电梯 下 降 
between, 电梯 在 第 i 层 和 第 i 十 1 层 之 间 
stop 电梯 没有 移动 
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SSR 形式 化 规约 


open 电梯 门 是 打开 的 

press_up; ” 某 个 人 在 第 i 层 按 下 向 上 按钮 

memory_up, ”电梯 “ 记 下 ”在 第 i 层 向 上 按钮 被 按 下 

press_down;， 某 个 人 在 第 i 层 按 下 问 下 按钮 

memory_down, 电梯 “ 记 下 ”在 第 i 层 向 下 按钮 被 按 下 

press, 菜 个 人 在 电梯 内 按 下 了 去 第 i 层 的 按钮 

memory press; 电梯 “ 记 下 ” 菜 个 人 在 电梯 内 按 下 了 去 第 i 层 的 按钮 
alarm 电梯 警报 响起 

规约 至 少 应 该 包含 下 述 属 性 : 

。 如 果 第 三 层 的 按钮 被 按 下 ， 电 梯 将 会 到 达 该 层 。 

。 电梯 不 可 能 同时 在 第 一 层 和 第 二 层 。 

。 如 果 电 梯 没 有 移动 ， 门 就 会 打开 。 

° 如 果 没 有 按钮 被 按 下 并 且 电 梯 在 第 四 层 ， 电 梯 将 在 该 层 等 待 直到 按钮 被 按 下 。 
。 无 论 何 时 电梯 在 楼 层 间 被 卡 住 ， 警 报 声 将 会 响起 直到 电梯 恢复 移动 。 


练习 5. 10.3 描述 4.15 节 的 通信 协议 要 求 的 属性 ， 特 别 是 下 面 的 属性 ; 
。 如 果 前 一 个 消息 没有 被 接收 者 接收 ,发 送 者 不 会 发 送 下 一 条 消息 。 
*， 如 果 由 发 送 者 发 送 的 每 条 消息 仅 会 有 限 多 次 丢失 ， 那 么 每 条 消息 最 终 会 到 达 接 收 者 。 


5. 11 扩展 阅读 


以 下 是 一 本 软件 规约 方面 的 书 : 
V. S. Alagar, K. Periyasamy, Specification of Software Systems, Springer- 
Verlag, 1998. 


Wolfgang Thomas 的 两 篇 关于 Biichi 自动 机 和 一 元 二 阶 逻辑 的 综述 如 下 ， 
W. Thomas, Automata on infinite objects, in Handbook of Theoretical Com- 
puter Science, vol. B, J. van Leeuwen (ed)., Elsevier, (1990) 133-191. 
W. Thomas, Languages, Automata, and Logic, in Handbook of Formal Lan- 
guage Theory, G. Rozenberg, A. Salomaa, (eds.), Volume 3, Springer- 

Verlag, 389-455. , 


规约 的 时 序 描述 方法 在 下 面 的 书 中 描述 得 很 详细 ， 

Z. Manna, A. Pnueli, The Temporal Logic of Reactive and Concurrent Sys- 
tems: Specification, Springer-Verlag, 1991. 

F. Kréger, Temporal Logic of Programs, EATCS Monographs on Theoretical 
Computer Science, Springer-Verlag, 1992. 


在 下 面 的 综述 论文 中 能 找到 更 为 广义 的 关于 时 序 逻 辑 的 观点 ， 
E. A. Emerson, Temporal and Modal Logic, in Handbook of Theoretical 


Computer Science, vol.B, J. van Leeuwen (ed.), Elsevier, (1990), 995- 
1072. 
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她 走 啊 走 啊 ， 走 了 很 远 ， 但 是 每 当 有 岔 道 时 ， 那 两 个 路 标 肯 定 指 着 同一 个 方向 ， 其 中 一 个 写 
着 “ 通 往 特 威 度 丹 姆 的 富 所 ”， 另 一 个 写 着 “ 通 往 特 威 度 迪 的 富 所 ”。 
“RPAH RL,” RRARRAB, “A&41l4t # F] — E p + Z 1” 
刘易斯 卡 洛 尔 《 爱 丽 丝 镜 中 奇遇 记 》 


训 无 疑问 ， 软 件 系统 的 完全 自动 验证 是 一 个 非常 理想 的 目标 。 我 们 希望 拥有 一 种 工具 : 它 可 
以 接受 待 验 证 系统 及 其 规约 作为 输入 ， 在 没有 人 工 干 预 的 情况 下 ， 自 动 检查 给 定 软件 系统 是 否 
满足 它 的 规约 。 但 是 根据 可 计算 性 理论 〈 见 第 2 章 ) 可 知 ， 我 们 无 法 构造 一 个 工具 来 广泛 检验 不 
同类 别 的 程序 。 然 而 ， 理 论 限 制 并 不 能 阻止 我 们 寻找 检验 软件 正确 性 的 实际 应 用 解决 方案 。 

帮助 我 们 实现 这 一 目标 的 一 些 可 能 的 思路 包括 : 

° 限制 验证 的 范围 ， 关 注 自 动 验证 算法 可 处 理 的 较 小 类 别 的 程序 。 在 本 章 稍 后 讨论 的 模型 

检验 中 ， 这 类 程序 一 般 只 包含 有 限 多 个 状态 。 

。 不 再 验证 整个 系统 ， 而 是 关注 其 中 某 些 简单 但 关键 的 部 分 。 例 如 ， 可 以 仅 验证 ， 

一 基本 核心 算法 ; 
一 系统 的 受 限 版 本 ， 如 对 变量 取 值 、 消 息 队 列 大 小 等 设置 (小) 范围 ; 
一 并 发 系统 的 底层 通信 协议 。 

。 使 用 抽象 方法 隐藏 或 删 减 程序 中 的 一 些 细节 信息 ， 从 而 得 到 一 个 较为 简单 的 程序 (例如 ， 
一 个 有 限 状 态 系 统 ) 。 这 个 抽象 过 程 可 以 由 人 工 完 成 ， 因 为 如 果 存 在 一 个 抽象 算法 总 是 能 
将 验证 问题 约 简 为 可 判定 问题 ， 这 会 将 与 原先 不 可 判定 的 结果 相 矛 盾 。 这 会 导致 实际 系 
统 和 验证 版 本 之 间 存 在 潜在 的 差别 。 因 此 ， 这 样 的 验证 过 程 可 以 提高 ， 而 不 是 绝对 保证 ， 
对 于 被 验证 系统 正确 性 的 信心 。 

° 使 用 人 工 辅助 的 验证 方法 。 例 如 ， 使 用 人 工 演 绎 证 明 以 验证 部 分 系统 ， 如 验证 一 个 给 定 
的 抽象 转换 ， 并 将 验证 问题 约 简 为 一 个 简单 的 可 判断 问题 。 我 们 将 在 10.1 节 深 入 讨论 这 
个 方法 。 

本 章 介绍 了 一 组 自动 验证 有 限 状 态 系统 中 属性 的 技术 。Bochmann [16] 是 最 先 提 出 将 有 限 
状态 机 (自动 机 ) 用 于 形式 化 方法 的 人 之 一 ， 他 使 用 有 限 状 态 机 对 通信 协议 进行 建 模 。 Zafiropu- 
lo [150] 给 出 了 基于 状态 空间 搜索 的 算法 ， 用 于 分 析 有 限 状 态 机 建 模 的 通信 协议 。West 和 
Zafiropulo [146] 使 用 这 个 算法 验证 了 CCITT X. 21 通信 协议 。 模 型 检验 (model checking), B| 
St Ot Rt 2 38 SL 2 A EE F Pr E Q uE, B H SEE 09 Clarke 和 Emerson [28, 42] 以 及 法 国 的 
Quielle 和 Sifakis [120] 分 别 独 立 提出 。 

即使 我 们 将 关注 点 局 限于 有 限 状态 系统 ， 在 验证 过 程 中 往往 还 需要 处 理 内 在 的 高 复杂 度 。 
一 个 有 限 状 态 的 程序 仍然 可 能 包含 巨大 的 状态 数 。 并 发 系统 特别 复杂 ， 运 行 中 可 能 产生 的 状态 
数 等 于 各 个 组 件 中 状态 数 的 乘积 。 因 此 ， 模型 检验 工具 中 经 常 使 用 各 类 启发 式 方法 以 试图 解决 
状态 空间 爆炸 问题 。 
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6. 1 状态 空间 搜索 
考虑 一 个 初始 状态 集合 为 了 的 有 限 状 态 系统 。 以 下 算法 搜索 状态 空间 ， 访 问 由 初始 状态 可 达 
的 所 有 状态 。 其 中 使 用 new 和 old 两 个 状态 链表 。 


状态 空间 搜索 算法 


1 Let new contain the set of intial states I and old be empty; 
2 While new is not empty do 
3 Choose some state S from new; 
4 Remove S from new; 
5 Add S to old; 
6 For each transition ¢ that is enabled at S do 
7 Apply transition £S, obataining S”; 
8 If S’is not already in new or in old then 
9 Add 8’ to new; 

在 算法 的 第 3 行 和 第 9 行 中 ， 并 未 指明 如 何 从 new 中 选取 一 个 状态 *， 或 是 如 何 将 新 状态 存 
A ?ere。 这 里 有 几 种 不 同 的 实现 方法 。 一 种 方法 是 将 new 作为 队列 实现 ， 根 据 先进 先 出 的 顺序 删 
除 元 素 。 同 时 ， 每 个 新 元 素 添 加 到 nw 队列 的 尾 端 。 这 种 搜索 策略 一 般 称 为 广度 优先 搜索 
(BFS) 。 当 要 把 状态 加 入 new 时 采用 以 下 方法 ， 首 先 队列 new 中 要 包含 初始 状态 ， 然 后 将 与 了 中 
某 个 状态 的 距离 (最 短路 径 长 度 ) 为 1 的 状态 加 到 new 队列 的 尾 端 ， 再 然后 将 距离 为 2 的 状态 加 
人 人， 以 此 类 推 。 

对 图 2. 1 使 用 BFS 方 法 进行 遍历 搜索 ， 初 始 状态 7 一 {r,)。 下 表 中 的 列 new, s 和 old 分 别 表 
示 算 法 第 4 行 在 连续 选 代 过 程 中 的 变量 值 ， 最 后 一 行 表示 算法 执行 结束 时 的 变量 值 。 


new s old 

(r) n 4) 

Cro? r, <r? 

(rey rs) Ta (ri 1) 
(rs, r.) rs (tis Tes 1%) 


(res Fos F) Fa Cris Tas Tas rs) 
(r, Tes re) Ty iri» Tos Ys, Ts r,) 


{Tes res r? re (ns Too Tas Tyo T49 rs? 


(rao r?) re (r. Fos Fas Wao Tas Pos ra? 
r) T, 《六 9 Pos 73 Tyo Tes Too Tes rg) 
O (rs Tos Fas Tes Wao Tos Yer Tey r? 


我 们 依次 扩展 状态 〈 根 据 算法 第 4 行 ， 每 次 从 链表 new 中 选 出 的 状态 ) 的 顺序 为 ，r,，r,， 
Tas Fas Fas Tos Tos Tes 7。 事实 上 ， 这 并 不 是 BFS 算法 下 唯一 可 能 的 排列 顺序 ， 因为 某 个 状态 
的 不 同 后 继 (如 六 的 后 继 为 六 和 x;〉 可 能 根据 不 同 的 添加 顺序 被 加 入 到 new 中 。 

劝 一 个 策略 是 使 用 栈 实 现 nexww， 即 删除 元 素 时 基于 后 进 先 出 的 顺序 。 这 种 搜索 策略 称 为 深度 
优先 搜索 (DFS)。 再 次 考虑 图 2. 1， 从 I=(r,) 开始 使 用 DFS 搜索 图 空间 下 家 给 出 了 算法 第 4 
行 每 个 选 代 过 程 中 new, s 和 old 的 变量 值 ， 以 及 最 终 的 执行 结果 。 

new s old 


(r>? rn O 
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(rz) rs <n? 
(ras Ts) T3 Cris T? 
(fo 2 rn s Tar 19? 


(Tas rs) Tg (ris Yos Tas ra?) 


<r? T; iris Fos o> Mes rg? 

{ros Fe) Yo (ris Tos Tas Tao Tas 15? 

(roy Te) ra CTi» Tas Ta» Tes Tas Tes To? 

(rs) Ts (ris To. T39 Tas Tae Tss To» Tr) 

《> {ris Frs Tao Tas Tes Tss Tas rs Ta) 


因此 ， 我 们 依照 Yis Too Y39 Tso Fas Ygs Too Tes To 的 顺序 扩展 状态 。 同样 ， 这 并 不 是 使 用 
DFS 扩展 状态 唯一 可 能 生成 的 顺序 。 

如 上 算法 中 所 示 的 简单 搜索 方法 可 以 用 于 检验 有 限 状态 系统 的 不 变量 ， 这 些 系统 属性 可 以 
用 形 如 口 g 的 LTL 公式 表示 ， 其 中 p 是 一 阶 或 命题 公式 。 接 下 来 ， 需 要 检验 先前 算法 中 初始 状 
态 〈 第 1 行 ) 和 每 一 个 加 入 集合 new 的 新 状态 BID BSE e. 

假设 搜索 算法 找到 一 个 从 初始 状态 出 发 可 达 但 不 满足 p 的 状态 。 我 们 不 仅 关 注 这 个 状态 是 否 
存在 ， 还 关注 这 个 状态 是 如 何 生成 的 。 换 言 之 ， 生 成 一 条 从 初始 状态 集合 工 中 某 个 状态 出 发 并 且 
最 终 到 达 一 个 违背 9 的 状态 的 路 径 是 非常 有 价值 的 。 这 样 的 路 径 对 应 于 某 个 执行 的 前 级 。 它 除了 
能 找 出 是 否 存在 错误 ， 还 能 发 现 错误 发 生 的 原因 。 我 们 可 以 通过 为 每 个 状态 记录 一 条 边 来 重 现 
这 条 路 径 ， 这 条 边 回 湖 地 指向 在 搜索 过 程 中 首次 发 现 这 个 状态 的 唯一 的 先驱 节点 e 。 也 就 是 说 ， 
在 算法 第 9 行 中 ， 我 们 保留 一 个 从 到 s 的 回潮 指针 〈 需 要 注意 的 是 这 里 的 指针 方向 与 状态 空间 
图 中 边 的 方向 相反 ) 。 图 6.1 中 给 出 了 DES 算法 生成 的 节点 序列 和 相应 的 回潮 边 。 例 如 ， 假 设 状 
Ar 不 满足 pg， 可 以 回溯 得 到 从 初始 状态 (在 本 例 中 仅 有 一 个 ) FMB no ra roo ree 


yo oi y í 1 + 


n r 六 rs n rg 79 re r 
E JW | j 
图 6.1 &1& Wah r SA BJ DFS 遍历 


BFS 算法 能 生成 路 径 长 度 最 短 的 反例 ， 而 DFS 不 能 保证 这 个 属性 。 另 外 ， 检 验 属 人 性 比 检验 
不 变量 更 加 复杂 ， 这 将 在 下 面 几 节 中 讨论 。 


6.2 状态 表示 方法 


在 本 章 介 绍 的 自动 验证 算法 中 ， 如 何 表 示 状 态 极为 重要 。 我们 需要 用 足够 的 信息 表示 每 个 

状态 ， 以 便 根 据 其 可 能 发 生 的 转换 计算 它 的 后 继 状态 。 同 样 ， 区 分 一 个 状态 与 其 他 不 同 的 状态 也 
很 重要 。 如 果 不 能 判断 我 们 是 否 再 一 次 到 达 了 同一 个 状态 ， 搜 索 算法 将 无 法 终止 。 

一 个 典型 的 状态 表示 方法 包含 对 程序 变量 的 赋 信 、 程 序 计数 器 、 系 统 中 的 消息 传递 、 消 息 队 
列 。 使 用 栈 或 树 这 类 复杂 数据 结构 的 程序 常常 导致 生成 的 状态 空间 过 大 ， 而 无 法 自动 进行 分 析 。 

一 个 微妙 的 而 常 被 忽略 的 注意 点 是 ， 不 应 该 使 用 一 种 区 分 本 质 相同 的 状态 的 表示 方法 。 为 
了 描述 这 个 问题 ， 考 虞 以 下 示例 [67]: 拥有 两 个 通信 队列 quo 和 ul 的 系统 。 系 统 使 用 含有 两 
条 队列 信息 的 一 个 列表 进行 建 模 ， 而 不 是 使 用 两 个 不 同 的 队列 变量 。 列 表 中 的 消息 存储 顺序 由 
它们 的 到 达 顺 序 而 定 。 每 条 消息 标记 为 0 或 1， 因此， 对 单条 队列 内 容 进行 线性 搜索 就 可 以 检验 














O 通常 在 模型 检验 中 ， 递 归 实 现 DFS 时 反例 存留 在 递归 栈 中 。 
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或 重新 获取 每 一 个 原始 队列 的 头 。 

这 种 看 似 简 单 的 表示 方法 将 产生 严重 的 后 果 。 考 虑 gqu0 和 qul 各 自 接受 ”条 消息 的 情况 。 这 
可 以 由 一 个 用 两 个 单独 的 队列 变量 描述 相关 队列 内 容 的 状态 表示 。 由 于 不 同 队 列 中 消息 的 到 达 
顺序 不 同 ， 在 单列 表 表 示 方 法 中 ， 两 个 队列 的 消息 有 很 多 种 不 同 的 交错 方式 。 在 这 里 ， 这 种 顺序 
是 无 关 的 〈 如 果 有 影响 的 话 ， 它 可 以 从 状态 序列 中 推导 而 得 )。 与 分 别 用 一 个 状态 表示 不 同 的 队 
列 不 同 ， 一 个 单列 表 表 示 方 法 可 以 有 Ma 个 不 同 的 状态 。 例 如 ， 当 使 用 单列 表 表 示 两 
条 队列 的 不 同 交 错 顺 序 时 ， 如 果 2 一 5， 将 生成 252 个 状态 。 

状态 在 存储 器 中 的 存储 方式 对 模型 检验 的 效率 有 着 深远 影响 。 为 了 快速 地 重新 检索 状态 ， 
同时 保持 内 存 大 小 的 可 控 性 ， 通 常 使 用 哈 希 表 存 储 状态 。 同 样 ， 压 缩 技术 也 被 应 用 于 减少 所 使 用 
的 状态 空间 [65]. 


6.3 自动 机 结构 体系 . 

这 里 介绍 的 模型 检验 方法 基于 自动 机 理论 。 它 允许 使 用 同样 的 表示 方法 描述 待 验证 系统 和 

规约 ， 也 就 是 Biichi 自动 机 。 自 动机 理论 与 其 他 研究 领域 间 的 联系 ， 以 及 大 量 的 相关 研究 成 果 ， 
使 得 我 们 可 以 开发 新 的 模型 检验 算法 。 其 他 的 相关 成 果 将 自动 机 理论 与 多 种 多 辑 [141] 联系 在 
一 起 ， 如 时 序 逻 辑 、 一 元 一 阶 软 辑 、 一 元 二 阶 逻 辑 和 正则 表达 式 。 这 有 助 于 在 模型 检验 算法 中 使 
用 这 些 形式 化 方法 表示 规约 。 
”Kurshan [4] 以 及 Vardi A Wolper [144] 分 别 独立 提出 了 模型 检验 的 自动 机 理论 体系 。 此 
外 ， 本 章 中 的 相关 介绍 也 参考 了 Alpern 和 Schneider [5] 的 研究 成 果 。 我 们 将 介绍 一 些 自动 机 理 
论 的 基本 知识 ， 并 说 明 在 这 个 体系 下 如 何 完成 模型 检验 。 我 们 将 特别 介绍 用 自动 机 描述 线性 时 
序 逻 辑 的 模型 检验 。 . 

回顾 一 下 ， 我 们 可 以 使 用 基于 相同 字母 表 的 自动 机 表示 状态 空间 和 系统 规约 。 如 果 系 统 4 的 
语言 包含 于 规约 B 的 语言 ， 即 

LOA) S LB) (6. 1) 
那么 系统 模型 A 满足 规约 B。 

令 C(0B) 为 语言 集 歹 \C(B) 所 有 不 被 有 接受 的 字 的 集合 ， 即 语言 CCB) 的 补 集 。 式 (6.1) 
中 的 包含 关系 可 以 改写 为 ， 

LCA N LOB) = YG (6, 2) 
这 意味 着 不 存在 A 可 以 接受 而 不 被 8 允许 的 字 。 如 果 交 和 集 不 为 空 ， 那么 其 中 的 任何 元 素 都 是 式 
(6.1) 的 反例 。 

实现 式 (6. 2) 中 的 语言 交集 比 实现 式 6.1 中 的 语言 包含 更 简单 ;检验 两 个 自动 机 相交 的 
语言 为 空 的 算法 比 检验 语言 包含 关系 的 算法 要 简单 。 当 然 ， 在 6. 5 节 中 可 知 ， 很 难 构建 Btichi A 
动机 的 补 集 。 然 而 ， 当 规约 的 来 源 是 一 个 LTL 公式 e 时， 我 们 可 以 避免 互补 计算 。 这 可 以 通过 
对 被 检验 公式 p 进行 取 反 而 完成 ， 即 直接 将 -gp 转换 到 自动 机 5， 而 不 是 将 p 转换 到 自动 机 8B 再 计 
算 补 集 。 | 

对 表示 原始 待 验证 系统 的 模型 4 建 模 时 ， 可 能 引入 建 模 错误 ， 因 此 我 们 需要 仔细 评估 自动 验 
证 过 程 的 结果 。 当 .4 不 完全 规约 建 模 系统 时 ， 可 能 出 现 问题 ， 会 导致 一 些 执行 不 被 CC A G. 
这 可 能 允许 包含 关系 式 (6.1) 被 满足 ， 模 型 检验 过 程 报告 模型 满足 规约 ， 即使 实际 系统 并 非 
如 此 。 

相反 ，\4 也 可 能 过 度 规约 建 模 系统 。 结 果 ， 当 发 现 反例 时 ， 我 们 需要 检查 建 模 错误 并 米 引 人 
一 个 错误 的 反例 ， 这 称 为 误 报 (false negative), ` £ CA) 包含 一 个 不 符合 建 模 系统 行为 的 执行 
时 ， 就 有 可 能 会 发 生 这 种 情况 。 将 反例 与 建 模 系统 作 比较 相对 简单 。 因 此 ， 在 模型 检验 中 找 出 反 
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例 比 获得 程序 模型 满足 规约 的 结论 更 具有 价值 。 

在 下 一 节 中 将 讨论 Biichi 自动 机 在 交 、 并 和 补 操作 下 闭 包 。 这 意味 着 ， 存 在 一 个 自动 机 可 以 
完全 接受 两 个 给 定 自 动机 的 语言 的 交集 或 并 集 ， 存 在 一 个 自动 机 可 以 完全 接受 给 定 自 动机 的 语 
言 的 补 集 。 有 时 ， 我 们 非 正式 地 称 对 两 个 自动 机 进行 交 或 者 并 操作 ， 这 意味 着 我 们 构建 了 一 个 自 
动机 ， 它 可 以 接受 两 个 自动 机 的 语言 的 交集 或 并 集 。 

式 (6.2) 中 的 正确 性 标准 引入 了 如 下 的 模型 检验 一 般 策 略 : 

首先 ， 计算 自 动机 B 的 补 集 ， 即 构建 一 个 可 以 接受 语言 CCB) 的 自动 机 B。( 或 者 ， 直 

接生 成 规约 8 的 补 集 。〉 然 后 ， 计 算 自 动机 .A 与 B 的 交集 。 如 果 交 集 为 空 ， 则 规约 8B 适用 

于 A。 否 则 ， 将 非 空 交集 的 可 接受 字 作 为 一 个 反例 。 

下 一 节 中 将 对 如 何 基于 Bichi 自动 机 实现 这 一 策略 进行 详细 说 明 。 


6.4 合并 Biichi 自动 机 

规约 机 制 的 一 个 重要 性 质 是 对 布尔 操作 “与 “" “或 "、“ 非 ” 闭 包 。 在 语言 中 ， 这 些 操 作 分 别 
对 应 于 交 、 并 和 补 。 以 交集 为 例 ， 令 p 为 序列 上 的 规约 ， 使 得 LC(p) 是 满足 属性 p 的 序列 ， 
记 为 tc | Hp 有 | 

Lig A p) = (s | =p and =g) = Le) N LUD) 

我 们 将 会 看 到 Büchi 自动 机 在 这 些 操作 下 完全 闭 包 。 这 一 点 非常 重要 ， 因 为 从 式 (6.2) 中 
我 们 可 知 模型 检验 可 以 被 转换 为 自动 机 的 交集 和 补 集 。 

ETRANTHRS, AEH AILAS, S.A, Ds L, R) MASI, S A, 
L, Lis Fi) WR S. 1S,=2, 那么 可 以 构造 并 集 自 动机 A1 UA. GRS 门 S 兴安， 则 可 以 
对 状态 重 命名 .) AUA 的 语言 是 各 个 自动 机 的 语言 的 并 集 ， 即 CC U A= CAD U CCOA) 
《因此 Ai UA 又 被 称 为 并 集 自 动机 ) 。 

并 集 自动 机 A: U A: 定义 为 多 元 组 

(ZS, U S,,A, U A, L, U L ,L, U L,,F, U F,) 

BH, bia L= LCAD ULCA) 5 L AL, 一 致 也 就 是 说 ， 如 果 sES,， 那么 LC(s) 二 LiCs)， 如 
R s€S,, 那么 L(s) 二 IL,(s)。 并 集 自动 机 是 根据 .A 行动 还 是 根据 A; 行动 ， 这 是 个 非 确定 性 选 
择 。 从 工 或 I 中 选择 一 个 初始 状态 ， 之 后 的 行动 依据 适当 的 自动 机 作出 相应 的 选择 。 当 自动 机 
A 和 Az 表示 规约 时 ， 它 们 的 并 集 对 应 于 规约 的 析 取 (disjunction) ; 或 者 根据 规约 .4; 行动 ， 或 
者 根据 规约 A; 行动 。 此 并 集 包 含 了 两 个 自动 机 的 语言 ， 因此 允许 系统 根据 两 者 间 任 意 一 个 规约 
行动 。n 个 自动 机 的 并 集 定义 可 按照 上 述 方法 扩展 而 来 。 

接受 交集 CCA41) | LA) 的 交集 自动 机 Ai NA, MEA MA 给 定 规约 的 合 取 con- 
junction) 。 交 集 只 包含 同时 被 两 个 自动 机 接受 的 字 。 因 此 ， 交 和 集 自动 机 的 每 个 运行 需要 模拟 统一 
输入 下 两 个 同时 发 生 的 运行 ， 自 动机 Ai 上 的 运行 和 .4A; 上 的 运行 。 此 刻 ， 我 们 将 忽略 接受 条 件 ， 
并 在 稍 后 讨论 。 交集 自动 机 的 每 个 状态 都 与 .4， 中 的 一 个 状态 和 .A 中 的 一 个 状态 相关 。 在 两 个 自 
动机 同时 发 生 的 一 个 运行 中 ， 输 入 序列 必须 满足 每 一 个 状态 的 《标记 在 状态 上 的 ) 状态 条 件 。 因 
此 ， 交 集中 状态 上 的 条 件 是 其 各 个 组 件 的 条 件 的 合 取 。 

考虑 如 图 6. 2 所 示 的 两 个 自动 机 。 状 态 间 的 四 种 组 合 如 下 ， 


LU G+ aDSL (go) ALi(@)=AN (AB) A(AAYAB = false 
LU gos qs) = Li (go) ALi (qs) =A ACB) ACAV CR B) =AACB) 
LUags QSL DAL: (q@)=(A) AGA) AB =G A)AB 


LUG, BSL (a) AL (gq) =A A (AV mB)) =G A)AG 8) 
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a OB) 


图 6.2 两 个 自动 机 的 交集 





图 6. 2 左 侧 的 自动 机 要 求 其 中 的 每 个 状态 或 者 满足 AA (mB》 或 者 满足 -A。 另 外， 对 于 无 
限 多 个 状态 ,满足 AAC. B)。 右 侧 自 动机 要 求 初 
| on 
AY 人 B， 其 余 的 状态 必须 满足 AV C B). 
为 false, MU, 没有 任何 运行 可 以 通过 这 个 状态 
组 ， 因 为 不 存在 一 个 赋值 可 以 满足 公式 false, R 
们 可 以 安全 移 除 标记 为 false 的 状态 ， 以 及 它们 的 
r~ 的 边 时 ， 交 集中 两 个 状态 (q, r> A <q’, r 
之 间 存 在 边 。 交 集中 的 初始 状态 组 的 各 分 量 分 别 是 A! MA 中 的 初始 状态 。 如 图 6. 3 所 示 的 是 最 
终 得 到 的 不 包含 接受 状态 的 自动 机 。 
SS SS C 

RS. 首先 我 们 将 介绍 两 种 错误 尝试 来 说 明 这 个 微 
妙 的 问题 。 在 第 一 种 尝试 中 ， 我们 设 定 当 .4 分 量 
RA 分 量 被 接受 时 ， 交 集中 的 状态 被 接受 。 这 将 
的 接受 状态 的 字 。 这 样 ，gq 使 得 状态 (qo ，9% 》 成 为 接受 状态 ，@ 使 得 状态 (gq, ，g,〉 成 为 接受 状 
态 。 在 Büch 自动 机 的 接受 条 件 中 ， 这 将 允许 接受 至 少 通 过 二 者 之 一 的 一 个 无 限 序列 ， 如 一 个 仅 循 
环 通过 (gs a) F (4 ，%》 的 序列 。 这 样 的 序列 不 包含 满足 4A(- B) 的 状态 ， 而 图 6.2 中 左 

在 第 二 种 尝试 中 ， 我 们 设 定 交 集 的 接受 状态 的 各 个 分 量 分 别 被 ,4， 和 .4; 接受。 这 种 情况 的 问 
题 是 两 个 自动 机 .A! MA 可 能 永远 无 法 同时 到 达 它 们 的 接受 状态 。 在 图 6.3 中 ， 状态 组 4 人 om g) 
BA 的 接受 状态 qo» 而 9 不 被 4， 接受 。 同样 ， {his Q? 包含 .4， 的 接受 状态 g,， 而 gw 不 被 .4， 接 

因此 ， 我 们 需要 一 些 方法 以 保证 可 以 无 限 多 次 访问 F, 和 F, 接受 集中 的 状态 ， 尽 管 不 一 定 要 
求 同 时 发 生 。 我 们 给 出 的 解决 方法 由 两 步 组 成 ; 首先 我 们 定义 一 个 Büchi 自动 机 的 广义 版 本 ， 它 允 
许 我 们 处 理 多 重 接 受 条 件 。 然 后 ， 我 们 将 说 明 如 何 将 在 扩展 条 件 中 定义 的 自动 机 转换 为 简单 Büchi 
6.4.1 广义 Bichi 自动 机 

不 同 于 Bichi 自动 机 只 有 一 个 接受 集 ， 广 义 Biichi 自动 机 构 允许 有 多 个 接受 集合 。 它 的 结构 
是 六 元 组 zx, S, A; I, L, F), 其 中 F=(f., fas ey f, 每 个 f, RES 的 一 个 子 集 
多 次 地 通过 每 一 个 下 中 的 集合 。 相 应 的 形式 化 描述 如 下 ， 如 果 对 于 任意 PECK, # 
az/o) 门 六 关节 ， 那 么 广义 Btichi 自动 机 中 的 运行 p 是 可 被 接受 的 。 

显然 ，Bichi 自动 机 是 广义 Bichi 自动 机 的 特殊 情况 。 不 过 ， 稍 后 我 们 将 说 明 对 广义 Btichi 
自动 机 到 接受 相同 语言 的 简单 Buchi 自动 机 的 转换 。 

在 为 两 个 Bichi 自动 机 的 交集 而 构造 的 广义 Bichi 自动 机 中 ， 我 们 令 接 受 集合 f, 表示 第 一 个 
分 量 属于 F. 的 状态 ， 即 FX S$, ， 令 接受 集合 f, 表示 第 二 个 分 量 属于 F, 的 状态 ， 即 S XF, 在 


需要 注意 的 是 对 于 状态 组 (a a), HR 
和 人 边 和 出 边 。 当 4, 中 有 q 到 9 Hid BA 中 有 到 

此 刻 ， 我 们 仍 未 讨论 如 何 判断 哪些 状态 可 以 被 
人 允许 自动 机 接受 一 个 无 限 多 次 到 达 自 动机 4; RA 图 6.3 交集 的 中 间 状 态 
侧 自 动机 要 求 这 样 的 状态 出 现 无 限 多 次 。 

。 第 三 组 (o a PREA MA 都 不 接受 。 因 而 ， 在 此 例 中 ， 没 有 状态 有 资格 被 接受 。 
自动 机 。 这 里 介绍 的 广义 自动 机 的 定义 同样 可 以 用 于 后 文中 介绍 的 从 LTL 到 自动 机 的 转换 算法 。 
(Si<m)， 即 上 SS。 其 他 分 量 和 简单 Bichi 自动 机 中 的 定义 相同 。 一 个 可 接受 的 运行 必须 无 限 
自动 机 的 接受 条 件 的 定义 并 没有 增强 普通 Biichi 自动 机 的 表达 能 力 。 我 们 还 会 给 出 从 广义 Büchi 
图 6. 3 中 ,第 一 个 接受 集合 只 有 一 个 状态 (Cas ad}. (需要 注意 的 是 ， 状 态 (q, g) HF 
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false 条 件 而 被 移 除 .) 第 二 个 接受 集合 是 (Cn, wm}. 
6.4.2 将 广义 Bichi 自动 机 转换 为 简单 Biichi 自动 机 


这 里 我 们 介绍 一 种 简单 的 转换 方法 [34]， 将 一 个 广义 Biichi 自动 机 (Z, S, A, I, L, F> 
转换 为 一 个 〈 简 单 ) Biichi APL. MRRLRAHKA|FlEm, RNWE m 个 状态 集合 S 的 


独立 副本 ， 即 S,， 其 中 5, 一 SX 全 (LSI<m) 。 困 此，S, 中 的 状态 记 为 《s， D. BNO, 的 加 
BEREH i D l= itl, Ktpl<i<m, W m @,1=1, XR BRARARITE 1 到 m 间 循 环 计 
数 。 在 构建 的 Bichi 自动 机 的 一 个 运行 中 ， 当 访问 S, 中 的 状态 时 ， 如 果 出 现 f; 中 状态 的 副本 ， 
我 们 跳 至 Se 1 中 相应 的 后 继 状 态 。 和 否则 ， 我 们 跳 至 S 中 相应 的 后 继 状 态 。 因 此 ， 以 增 序 访问 下 
中 所 有 集合 的 接受 状态 ， 使 得 自动 机 循环 经 过 m 个 备份 。 

我 们 需要 选 出 无 限 多 次 经 过 从 S BS, 每 一 个 副本 的 接受 状态 。 由 于 从 一 个 集合 到 下 一 个 集 
合 的 跳 转 与 某 个 f, 中 接受 状态 的 出 现 相 一 致 ， 这 保证 了 所 有 接受 集合 都 将 出 现 无 限 多 次 。 我 们 
不 能 选择 S 集合 中 的 一 个 元 素 作为 Bichi 接受 集合 ， 因 为 这 样 可 能 会 接受 一 个 永久 停留 在 S, 而 
从 不 出 现 f; 中 任何 状态 的 运行 。 但 我 们 可 以 对 任意 ism BEA RLF f. i KRET 
我 们 经 过 f:X{ 引 中 的 一 个 状态 并 可 到 达 Se :中 的 一 个 状态 。 为 了 重新 访问 SAX 中 的 状态 ， 
我 们 需要 再 一 次 循环 遍历 所 有 其 他 的 备份 。 当 广义 Bichi 自动 机 的 接受 集合 下 中 的 集合 为 空 时 ， 
我 们 定义 转换 结果 为 (S, S, A, I, 工 ，S) ， 即 生成 的 Bichi 自动 机 的 所 有 状态 都 是 接受 状态 。 

我 们 对 不 同 集合 中 接受 状态 的 出 现 附加 了 先后 次 序 ， 这 可 能 初 看 来 很 奇怪 。 这 并 不 意味 着 下 中 
不 同 集合 的 接受 状态 按照 这 样 的 顺序 出 现在 输入 序列 中 。 它 只 说 明 我 们 按 这 样 的 顺序 考虑 它们 。 例 
如 ， 如 果 有 状态 (s，2)€ SS， 其 中 sE 太 ,我们 跳 转 至 某 一 状态 (r，3) € S, 。 然 后 ， 如 果 有 状态 (q, 
DES 出 现 ， 其 中 gE€ fh 或 g€ f;， 我 们 将 继续 停留 在 S,。 需 要 注意 的 是 ， 如 果 有 元 限 多 个 状态 其 第 
一 个 组 件 属于 各 个 接受 集合 f:， 我 们 将 不 去 利用 所 有 这 些 状态 以 在 不 同 备份 间 跳 转 ， 这 并 不 会 带 来 问 
题 。 如 果 在 某 一 时 刻 后 ， 没 有 更 多 属于 f; 的 状态 ， 那 么 自然 也 就 不 会 接受 相应 的 输入 。 

由 广义 Bichi ABIL (X, S, A, I, L, (fu, s fah) 转换 而 得 的 包含 非 空 接受 条 件 集合 
的 Bichi 自动 机 为 (Z, SX{1, =, m), A’, IX{1}, L', fxX{1}) (m=0 的 情况 在 上 文中 已 给 
H), RL, DSL, HWE (Q, QD EA 并 满足 下 列 条 件 之 一 ， 

Lq€f B ;=¿ @,.1 

2.9¢ f, B j=: 
WA Cg i), (q's EAL 

现在 ， 我 们 可 以 定义 两 个 Bichi 自动 机 的 交集 为 一 个 广义 Büchi 自动 机 。 对 应 的 交集 构建 为 ， 

A N Ar = (35S, X SAh X L ,L,tF, x S,,S, X F,)) 
交集 的 转换 关系 4 定义 如 下 ， 
CED CAM BRYHUL) € A. Alg) € A, 


交集 中 各 个 状态 O, O BJER L (1) AL (Cg), 4ACB) DED 


WALO, Q). WEA false 的 状态 及 其 人 边 和 出 
AAB) GADAB CA AGB) 






边 被 删除 。 将 图 6.2 中 的 自动 机 进行 交集 运算 ， 
并 将 广义 Bichi 自动 机 转换 为 一 个 简单 Buchi B 
动机 后 的 结果 如 图 6.4 所 示 。 

需要 注意 的 是 ， 自 动机 并 集 的 大 小 与 成 员 自 
动机 大 小 的 和 成 正比 。 自 动机 交集 的 大 小 与 成 员 
自动 机 大 小 的 溢 积 成 正比 。 

OR (6.2) 中 的 交 操作 通常 对 应 于 更 严格 的 图 6.4 图 6.2 中 自动 机 的 交集 
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情况 ， 其 中 表示 被 建 模 系统 的 自动 机 中 的 所 有 状态 都 可 以 被 接受 。 在 这 种 受 限 情况 中 ， 自 动机 
A 的 所 有 状态 是 接受 状态 ， 而 自动 机 4: 的 状态 不 受 限 制 ， 则 有 : 
Ai N Ar = (255, X SA X1,,L,8, x F,) (6. 3) 

He cig, Ul, dIECASAMWYH G, DEA, A (gq,，g')EA， 对 于 交集 中 的 每 个 状态 
(1，q)， 有 上 (1，9q) 一 Li1(7) 人 L(gq)。 显 而 易 见 ， 这 是 一 个 简单 Büchi 自动 机 。 因 此 ， 其 接受 状态 
是 第 二 个 成 员 可 被 接受 的 状态 组 。 然而， 交 操 作 更 通用 的 情况 适用 于 对 附加 了 公平 性 约束 的 系 
统 建 模 〔 见 6. 10 节 )。 在 这 种 情 帝 下 ， 并 不 需要 自动 机 系统 中 所 有 状态 都 必须 可 被 接受 。 

计算 Biichi 自动 机 补 集 的 细节 非常 复杂 。 其 主要 原理 将 在 下 一 节 中 介绍 。 更 多 的 细节 可 参见 
[134]， 而 更 有 效 的 算法 可 参见 [124]。 补 集 自 动机 8 的 大 小 是 8 大 小 的 指数 级 。 在 一 些 实现 中 
(如 [65])， 建 议 使 用 者 直接 给 出 B 的 自动 机 ， 而 不 是 8 的 自动 机 。 这 种 情况 下 ， 用 户 对 坏 行 为 而 
不 是 好 行为 进行 规约 。 在 COSPAN [79] 中 使 用 的 另 一 个 方法 是 使 用 允许 简单 补 集 计算 的 名 自 
动机 的 扩展 版 本 。 

最 后 ， 自 动机 8 可 以 通过 一 些 规 约 语言 的 转换 而 得 到 ， 如 LTL 或 一 元 二 阶 逻辑 。 此 时 ， 不 再 
先 转换 属性 o 到 8 再 计算 8B 的 补 集 ， 而 是 如 式 (6.2) 中 要 求 的 对 mp 进行 转换 ， 这 将 直接 给 出 补 
集 语言 的 自动 机 。 一 个 将 LTL 转换 到 自动 机 的 有 效 算法 将 在 稍 后 介绍 。 


6.5 Biichi 自动 机 求 补 

为 了 完备 性 ， 我 们 在 这 里 介绍 Biichi 自动 机 求 补 操作 的 原理 (但 不 给 出 全 部 细节 )。 如 前 一 
节 中 所 说 ， 由 于 可 能 的 指数 级 爆炸 ， 一 些 实现 中 避免 了 显 式 求 补 。 因 此 ， 读者 可 以 安心 跳 过 以 下 
数学 细节 和 过 程 ， 直 接 进 入 下 一 节 。 

在 字符 串 集 合 上 的 全 等 性 〈congruence) “一 ”是 一 个 等 价 关 系 ， 满 足 (z —x A z, — y; )— 
Tis Zi i, Moo 给 定 Büchi 自动 机 .4 一 (3， S, As I, L, F), ues’, gs CES, J u 
字母 标记 的 从 状态 g 到 状态 2 ' 的 边 的 路 径 ， 记 为 q>q' 。 经 过 下 中 接受 状态 的 路 径 ， 记 为 q 3 F 
qo MRAN q. ES, ghq RK aha, Ba a M4 gel a’, A =u, 很 容易 验证 
“人 ”是 一 个 等 价 关 系 。 

现在 证 明 “ 人 ”是 全 等 的 。 我 们 将 给 出 “ 必 ” 的 证 明 ， 同 理 可 证 ego. S u o H u = 
ts Gs q 为 任 一 状态 组 ， 我 们 现在 需要 证 明 存 在 标记 为 u. u, 的 从 g 到 g' 的 路 径 , 仅 当 存 在 标记 


为 uw 的 从 gq 到 g' 路 径 。 由 先前 的 等 价 性 可 知 ， 对 任 一 状态 r+， qor 当 且 仅 当 g br, 3EH ri 


9 当 且 仅 当 > 心 g'。 

从 “人 ”关系 的 定义 可 知 其 等 价 类 的 数目 有 限 〈 但 可 能 是 巨大 的 ， 比如 4 中 状态 数 的 指数 
级 )。“ 实 ”的 每 一 个 等 价 类 UU 是 有 限 个 字 的 集合 (或 语言 )。 

对 于 “从 ”的 每 一 组 等 价 类 U, V, 82 U.V°CC CC CA), B4 UVC. 3 T uE R 
RB, Suu. v f u. vl. u, E. U. V° 中 两 个 无 限 字 符 串 ,其 中 u, € U, vs BEV, i=l, 


然后 ， 由 于 uXu' Al o ==! ， 其 中 il, 存在 .4 的 运行 g ~ g, a, wees 仅 当 存 在 运行 q Ha, 5 


。 此 外 ， 我 们 可 以 选择 两 个 运行 使 得 对 每 一 个 1, ee 因此 ， 
Muse 个 运行 被 接受 时 ， 第 一 个 运行 被 接受 。 相 应 地 ，w 久久 … 在 LCA HAL ul vl olete 
LA P. EA, 如果 一 个 U.V* 中 的 字符 串 在 CCA) H, 那么 所 有 U.V= 中 的 字符 中 在 
LOA) 中 。 

令 w 是 一 个 无 限 字 。 则 存在 “ 宇 ”关系 下 的 一 组 等 价 类 U, V 使 得 由 EU ye。 为 了 证 明 这 
点 ， 令 iz(z, y) 是 “二 ” 关系 下 包含 了 从 第 个 到 第 y NFER FF wlr. y] 的 等 价 类 。 这 
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样 ， 如 果 izCzx，y) 一 izlx ，y')， 那 么 w[x，y] 实 w[x ，y]。 由 于 有 有 限 多 个 等 价 类 ，iz 可 以 
将 无 限 多 个 配对 映射 到 一 个 有 限 集 合 中 。Ramsey 理论 [57] 证 明 把 自然 数组 的 无 限 集合 分 区 到 
有 限 数目 的 集合 中 ， 存 在 自然 数 的 一 个 无 限 序 列 m, m, m ，…， 使 得 这 个 序列 中 的 每 一 组 数 
字 ， 特 别 是 每 一 相 邻 组 ， 都 在 同一 个 分 区 集合 中 。 这 样 ， 存 在 一 个 无 限 序 列 m, m, m, ，… 使 
得 对 任 一 二 j1 有 izm, my 一 1) 一 这 (oo mti 一 1)。 我 们 可 以 选择 U=iz(0， mD, 
V=iz(ms m,—1). 

为 了 求 4 的 补 ， 我 们 可 以 构建 〈 根 据 如 上 “人 ”的 定义 ) Bin vue 的 语言 的 自动 机 并 集 ， 
其 中 U,V “=” MEHR, BVUNLOA=S. 


6.6 检验 空 集 

在 本 书 中 ， 我 们 介绍 了 如 何 将 模型 检验 转化 为 检验 两 个 自动 机 的 交集 是 否 为 空 ， 其 中 一 
自动 机 表示 系统 ， 另 一 个 自动 机 表示 规约 的 补 集 ， 见 式 (6, 2)。 这 样 ， 我 们 需要 一 个 实现 空 集 检 
验 的 算法 。 此 外 ， 如 果 交 集 非 空 ， 我 们 希望 得 到 反例 。 尽 管 Bichi 自动 机 的 一 个 执行 可 以 是 无 限 
的 ， 但 我 们 希望 得 到 可 以 有 限 表达 的 反例 。 

考虑 Biichi 自动 机 A 二 (3，S，A, TI， 工 ，F) 。 如 6.4 节 中 所 示 ， 我 们 可 以 假设 Biichi 自动 机 
中 没有 一 个 状态 的 标记 是 等 价 于 false 的 公式 。 在 最 普通 的 形式 中 ， 每 个 状态 标记 为 命题 变量 
AP 上 的 任意 布尔 公式 ， 这 使 得 检验 此 公式 是 否 等 价 于 false 成 为 复杂 的 问题 。 这 个 问题 的 时 间 
复杂 度 是 NP 完备 的 ， 也 就 是 说 ， 至 今 尚 未 发 现 比 指数 级 时 间 更 好 的 解决 方法 。 因 此 ， 我 们 唯一 
使 用 的 状态 标签 是 命题 变量 和 否定 命题 变量 的 合 取 命题 。 特 别 是 ，6. 8 节 中 自动 LTL 转换 算法 
的 结果 符合 这 一 形式 。 两 个 此 类 自动 机 交集 的 结果 同样 也 符合 这 样 的 要 求 。 在 此 条 件 下 ， 是 否 等 
价 于 false 的 检验 ， 可 以 在 标记 的 长 度 的 线性 时 间 内 完成 。 

令 。 是 A 的 一 个 可 接受 运行 ， 那么 p 包含 了 无 限 多 个 下 中 的 状态 。 由 于 S 是 有 限 的 ， 因 此 存 
在 o 的 某 个 后 缀 p EE p' 的 每 个 状态 都 出 现 无 限 多 次 。 这 意味 着 ，p' 的 每 个 状态 都 可 以 由 eH 
KAPRER. Alt. o 中 状态 包含 于 4 图 的 强 连 通 组 件 中 。 该 组 件 从 初始 状态 出 发 可 达 ， 
并 且 包 含 接受 状态 。 反 过 来 说 ， 任 何 一 个 从 初始 状态 可 达 并 包含 接受 状态 的 非 平 凡 强 连通 组 件 
可 以 生成 自动 机 的 一 个 可 接受 运行 。 这 样 ， 检 验 C(.4) 的 非 空 性 等 价 于 在 图 ,4 中 寻找 一 个 从 初始 
状态 出 发 可 达 并 包含 接受 状态 的 强 连 通 组 件 。 

这 个 发 现 的 精 抄 之 处 在 于 ， 如 果 语 言 CC4) 是 非 空 的 ， 那 么 就 存在 一 个 可 以 用 有 限 方法 表 
未 的 反例 。 这 个 反 鲁 是 由 一 个 有 限 前 级 和 一 个 周期 性 状态 序列 构成 的 运行 。 换 名 话说， 反例 是 
形 如 mm" 的 序列 ， 其 中 m 和 o, 是 有 限 序列 。 这 样 的 序列 称 为 终极 周期 序列 。Tarjan 的 深度 优 
先 搜 索 (DFS) 算法 [139] 可 以 用 于 寻找 强 连 通 组 件 。 这 样 ， 可 以 按照 如 下 方法 完成 模型 
检验 : 
构建 表示 被 建 模 系统 的 自动 机 .4。 

. 构建 表示 规约 补 集 的 自动 机 B。 

. 构建 交集 自动 机 C 二 A 门 B。 

.应 用 Tarjan 的 算法 寻找 从 C 中 初始 状态 出 发 可 达 的 强 连通 组 件 。 
:如果 未 发现 包含 接受 状态 的 强 连 通 组 件 ， 则 称 模 型 ,4 满足 规约 所 ， 

6 否则， 选择 C 中 可 达 的 强 连 通 组 件 S。 构 建 从 C 中 某 一 初始 状态 出 发 到 达 S 中 某 个 接受 状 
Sq 的 路 径 w, 。 构 建 从 ?到 自身 的 循环 。 由 于 S 是 强 连通 组 件 ， 这 样 的 循环 必然 存在 。 令 s 为 
不 包含 第 一 个 状态 q 的 循环 。 然后， 就 可 以 称 aot 是 被 A 接受 但 不 满足 规约 8 的 反例 。 


oO fF © N e 
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一 个 很 重要 的 发 现 是， 在 开始 计算 交集 和 检验 非 空 性 之 前 ， 不 需要 完成 系统 构建 或 是 自动 
机 的 相交 。 有 时 这 称 为 “即时 ”(on-the-fHy) 模型 检验 。 当 需要 交集 计算 时 ， 自 动机 系统 中 的 新 
状态 将 接 需 构建 。 这 样 ， 有 时 可 以 检验 因 自 动机 模型 过 大 而 无 法 在 内 存 中 放下 的 某 些 系统 。 如 果 
在 交集 完成 前 就 已 发 现 错误 ， 那 么 将 不 再 需要 完成 整个 状态 空间 的 构建 。 而 且 ， 由 于 属性 相关 自 
动机 决定 了 乘积 的 构建 ， 因 此 自动 机 系统 的 某 些 部 分 可 以 简单 地 不 纳入 交集 运算 。 相 关 算 法 的 
更 多 细节 可 参见 [34]. 


6.7 模型 检验 范例 

考虑 图 6.5 中 左 侧 的 交通 信号灯 系统 模型 ， 它 不 同 于 5.4 节 中 的 交通 灯 系 统 。 这 里 ，yellow 
KU FPR 36 BF, green 灯 依 旧 未 灭 。 命 题 变量 为 re, 
ye 和 gr， 分 别 对 应 于 red. yellow 和 green。 自 动 
机 系统 的 所 有 状态 都 可 被 接受 。 也 就 是 说 ， 任 何 一 
个 无 限 序列 都 是 系统 的 一 个 执行 。 事 实 上 ， 本 例 中 
只 有 一 个 执行 。 因 此 ， 我 们 并 没有 对 图 6.5 中 模型 
自动 机 的 接受 状态 进行 标记 。 

规约 中 我 们 希望 检验 断言 ， 自动 机 总 是 从 
yellow 到 red, AAI Hh, RIER LTL 属性 
L(ye>O 〇 re) 来 检验 交通 信号 灯 系 统 。 为 了 检验 这 
个 属性 ， 我 们 检验 模型 中 是 否 存 在 一 个 序列 满足 这 
+ Bm FE BJ # ER, EH — [D] (ye — Ore) = 
(yeAOnre)。 图 6.5 右 侧 是 表示 这 个 属性 的 自 
动机 。 稍 后 ， 我 们 将 介绍 转换 LTL 属性 到 Biichi 
自动 机 的 算法 。 

图 6.6 是 两 个 自动 机 的 交集 ， 其 中 标签 等 价 交通 灯 模 型 规约 
于 false 的 节点 被 划 去 ， 它 们 的 边 也 未 画 出 。 模 型 
的 初始 状态 是 〈s, ，q,)， 其 两 个 组 件 都 是 交集 自 
动机 的 初始 状态 。((s; ，gq:〉 包 含 两 个 初始 组 件 ， 但 因 LCs) A L(g,) = false 而 被 划 去 .) 同样 
还 有 些 没 有 人 边 的 非 初始 状态 ， 如 ((wr，@》， (ss，%))， 以 及 没有 出 边 的 状态 Css a>), 
由 于 它们 不 能 出 现在 任何 一 个 可 接受 的 运行 中 ， 因 此 这 些 状 态 都 是 元 余 的 。 本 例 中 ， 我 们 处 
理 的 是 简单 〈 且 常见 ) 的 情况 ， 其 中 一 个 参与 交集 计算 自动 机 (RA) 的 所 有 状态 都 被 接 
受 。 因 此 ， 根 据 自动 机 属性 ， 交 集 的 接受 状态 是 那些 第 二 个 组 件 被 接受 的 状态 。 在 本 例 中 ， 
是 含有 第 二 个 组 件 q. 的 状态 。 这 里 有 两 个 非 平 凡 强 连通 组 件 ， 

{51 91) (sas Qh) (sQ) 9454 9q,)} 








BOE 


图 6.5 一 个 交通 信号 灯 模 型 及 其 规约 的 否定 


和 
ECET ARLOTT i) 2455 qa) (5 sq 5) 

这 两 个 组 件 都 从 初始 状态 可 达 (事实 上 ， 前 一 个 组 件 中 包含 了 初始 状态 )。 前 一 个 强 连 通 组 件 中 
不 包含 接受 状态 ， 而 后 一 个 组 件 的 所 有 状态 都 可 以 被 接受 。 在 此 基础 上 ， 反例 可 以 由 有 限 前 级 
C81 991) (sQ) 9653 92) 94 Se 9a) (si Q.) 

与 周期 序列 


(s; sqa? (S; q) 94S, qa? CS 2G? 
组 成 。 
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图 6.6 图 6.5 中 自动 机 的 交集 


分 析 反 例 可 知 错误 部 分 出 现在 前 级 中 ， 当 yellow 和 green 都 亮 时 ， 从 状态 (so g) 跳 转 至 
下 一 状态 (5, a), DN yellow 仍然 亮 着 ， 而 red RH. 

在 把 这 个 运行 返回 给 工程 师 并 向 其 抱怨 出 现 错误 之 前 ， 我 们 需要 判断 这 是 不 是 真 的 表明 在 
交通 信号 灯 系 统 中 存在 某 个 错误 。 任 细 检 查 反 例 可 知 在 一 个 排他 的 yellow 状态 后 出 现 先前 的 
red 状态 。 在 先前 red 状态 后 的 第 一 个 yellow 状态 中 ，green 灯 仍 然 亮 着 。 这 里 根据 之 前 的 规 
约 ， 下 一 状态 中 我 们 需要 red 亮 起 。 然 而 在 下 一 状态 中 ，&green 灯 灭 掉 ， 而 yellow 灯 仍 然 亮 着 。 
只 有 在 子 序列 状态 中 ，yeltoro 跳 转 到 red。 看 起 来 似乎 所 使 用 的 LTL 属性 并 未 描述 出 预定 的 规 
约 ， 而 反例 的 行为 并 未 暴露 出 任何 问题 。 在 此 例 中 ， 应 该 重新 描述 LTL 属性 (或 许 表示 为 
D(Cye>ye Ure)). 


6.8 将 LTL 转换 为 自动 机 


现在 ， 我 们 介绍 将 〈 命 题 ) LTL 规约 转换 为 广义 Bichi 自动 机 的 算法 [52]。 令 ç 为 要 转换 
为 广义 Bichi 自动 机 的 LTL 规约 。 我 们 首先 来 直观 地 描述 这 个 转换 算法 。 

对 生成 的 自动 机 中 每 一 个 节点 *， 我 们 附加 一 个 公式 %s) 。 给 定 某 个 序列 上 《上 的 一 个 可 接受 
运行 ， 如 果 这 个 运行 到 达 状 态 s HEARE, BAA KE (sD). AR ns) 形 如 

(As) AoC A») 

这 有 助 于 计算 满足 八 ,的 的 后 继 节点 。 需 要 注意 的 是 当 mm 一 1 B n—0 时 ， 每 个 LTL 公式 均 可 
以 表达 成 这 个 形式 。 

我 们 的 目标 是 将 7O 精 化 为 更 简单 〈 简 短 ) 的 子 公式 wv， 直到 所 有 的 v 要 么 是 命题 变量 要 
么 是 否定 命题 变量 。 

考虑 一 下 ， 例 如 节点 ; 包含 一 个 子 公式 v, 二 jp Uo. 我们 将 使 用 如 下 直到 操作 符 “U” 的 
EE: 


95 


96 


第 6 章 自动 验证 


Uy=yV Ce A Oz Up 
CE 5.3 节 的 公理 A7)。 表 达 式 右边 包含 所 定义 公式 自身 ， 因 此 这 可 以 被 看 做 “U” 操 作 符 的 不 
动 点 或 是 循环 定义 。 因 此 ， 有 两 种 满足 ju Uy 的 方法 。 一 种 是 满足 直到 操作 符 右 边 部 分 ， 即 y。 
另 一 种 是 延迟 y， 意 味 着 /必须 满足 当前 的 后 缀 ， 同 时 AUyY 满足 下 一 个 状态 。 因 为 这 两 种 不 同 
的 方法 (或 者 等 价 地 说 ， 析 取 操 作 符 “V ”的 存在 ) ， 我 们 将 当前 节点 一 分 为 二 。 在 第 一 个 备份 
中 ， 我 们 添加 一 个 v; 子 公式 y。 在 第 二 个 备份 中 ， 我 们 添加 一 个 v 子 公式 4 以 及 一 个 k; FAR 
4 Uy。 其 他 公式 类 型 也 以 类 似 方 式 处 理 ， 见 后 面 表 6.1. 

当 拆 分 一 个 节点 时 ， 我 们 保留 u Me, 公式 中 的 余 项 ， 以 及 前 驱 节 点 的 列表 。 我 们 将 已 精 化 
后 的 子 公式 v 和 还 未 处 理 的 部 分 分 离 。 在 完成 精 化 过 程 或 是 将 节点 ;一 分 为 二 后 ， 生 成 它 的 后 继 
s, BP s' 的 公式 v, 设置 为 s 的 x; BR, WI s Hae 公式 的 集合 为 空 。 

在 生成 节点 集合 后 ， 需 要 赋值 接受 条 件 。 这 要 求 必须 满足 等 式 右 侧 的 每 个 直到 子 公 式 。 也 就 
是 说 ， 公 式 y Uy 的 每 个 直到 子 公式 必须 被 某 个 后 缀 E 满足， 一 定 存在 一 个 后 级 上 厂 y， 其 中 
j 之 i。( 和 需要 注意 的 是 u U 内 一 (0 幼 。) 重要 的 是 ， 在 先前 介绍 的 节点 拆 分 中 ,满足 Uy 的 要 ` 
么 满足 %， 要 么 延迟 满足 wx Uy 到 下 一 个 状态 ( 当 w 满足 当前 后 缀 时 ) 。 我 们 需要 保证 并 未 永远 延 
BRE ge Ak, SEERA FARR TRIM Y — U X Biichi 条 件 。 相 应 于 形 如 wx Uy 的 
子 公式 ， 每 个 条 件 是 包含 下 列 所 有 节点 的 集合 : 

。 包含 uo 

。 BAF vy =p Uy 

现在 ， 我 们 正式 给 出 算法 。 为 了 应 用 如 下 的 转换 算法 ， 我 们 首先 将 公式 p 转换 为 否定 范式 
(negation normal form) ， 其 中 否定 只 用 于 命题 变量 。 我 们 首先 使 用 布尔 等 价 使 得 只 保留 布尔 运算 
符 and (“A”), or (“V”) 和 not (“”)。 在 此 基础 上 再 加 入 否定 操作 ， 使 其 只 出 现在 AP 中 的 
命题 变量 之 前 。 可 以 依据 LTL 等 价 关 系 完 成 相应 的 转变 : -On= Onus TVD= HAC 
DADE=OPVON, -2770=% KOM=O74¥, KDS ps Ce UD =G 2 V Cy) 
URC V 有 一 (AUC 有 力 。 最 后 ， 我 们 使 用 等 价 关系 0 y= true Uy MO y= false V > 分 别 将 
操作 符 终 将 O 和 总 是 (“OO”) 替代 为 直到 ( “U”) MAH ( KV”, 

此 后 ， 我 们 将 假设 "已 经 属于 范式 。 需 要 注意 的 是 ， 转 换 LTL 公式 到 范式 并 不 会 导致 存储 
大 小 的 显著 〈 大 于 线性 的 ) 增长 。 

例如 ， 考 虚 范 式 一 口 (~ A 一 ( 口 BA 口 C)), RNARRERAM, BBOOCAV(OBA 
NO). MARERE, BBO (AA((0-B)V (60-7.C)))。 然 后 ,我们 去 除 O 运 算 符 ， 从 而 生成 
true UCAA CCtrue U~ B) V Crue UnC))) 。 

图 节点 是 算法 的 基本 数据 结构 〈 见 图 6. 8) 。 一 些 节点 被 用 做 待 构建 自动 机 中 的 状态 ， 其 祭 
的 将 在 转换 中 删除 。 一 个 图 节点 包含 下 列 的 域 ， 

Name: 节点 的 唯一 标识 符 。 

Incoming: 包含 指向 当前 节点 的 人 边 节点 的 标识 符 列表 , 

New, Old, Next: 每 个 域 是 一 个 p 的 子 公式 集合 。 每 个 节点 代表 某 个 执行 后 缀 的 时 序 属 
性 。 在 算法 的 上 述 非 正式 解释 中 ，New(s) UOld(s) 是 vw AS, New(s) 集合 包含 还 未 处 理 的 子 
AR, M Olds) 包含 已 处 理 的 子 公式 ，Next(s) 中 的 子 公 式 是 上 述 解释 中 的 心 公式 。 

我 们 保持 构造 完成 的 节点 集合 Nodes Set, 这 些 节点 组 成 了 待 构 建 自动 机 中 的 状态 。 初 始 情 
况 下 ，Nodes_ Ser 集合 为 空 。 

将 LTL 公式 转换 为 广义 Büchi 自动 机 的 算法 如 图 6. 7 所 示 。 
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record 








LTL translation algorithm 


graph_node = [Name:string, Incoming:set of string, 


New:set of formula, Old:set of formula, Next:set of formula]; 
function expand (s, Nodes_Set) 
if New(s)=@ then 


if exists node r in Nodes_Set with 
Old(r)=Old(s) and Next(r) =Nezt(s) 

then Incoming(r) = Incoming(r)U Incoming(s); 
return( Nodes_Set); 

else return({expand( [Narmme<-new_name(), 
Incomings {Name(s)}, New=Nezt(s), 
Old 0 , Nezt<= 0], Nodes_SetU {s})) 


else 


let n ENew(s); 
New{s) := New(s)\{n}; Old(s) := Old(s)U{n}; 
case 7 of 


n = A, or A, where A proposition, or 7 = true, or 1 =false=> 


if 7 =false or -7 € Old(s) then return{ Nodes_Set) 


else return(expand([Name< Name(s), Incoming<<Incoming(s), 
New<=Neuts}, Oid<=Old(s), Next<=Next(s)}], Node.Set}); 


n = Up, or HVW, or pV ó => 
81:=[Name<= Name(s), Incoming<Incoming(s), 
News= New(s)U({New1(n)}\ Old(s)), 
Old<=Old(s), Nezt= Nezt(s)U {Next1(7)} ]; 
$2:=new_node([Nameqnew_name(), 
Incoming<Incoming(s), 
News=New(s) U ({New2(7)}\ Old(s)), 
Old Old(s), Nezrt<== Nezt(s)]); 
return(expand(s2, expand(s,, Nodes_Set))); 


return(expand([Name<=Name(s), Incomings=Incoming(s), 


News= Neus) U ({u, Y}\ Old(s)), 
Old Old(s), Next=Nezt(s)], Nodes_Set)) 


n = Ou => 


return(expand([Name<=Name(s), Incoming=Incoming(s), 


New<=New(s), Old Old(s), 
Next<= Nezt(s) U {1}], Nodes_Set)) 


end expand; 
function create_graph (ip) 
return(expand([Name<=new_name(), Incoming< {init}, 


News (ç) , Olde 0, Nezt< 0), 0)) 


end create_graph; 








图 6.7 LTL 转换 算法 


算法 第 9、24 和 39 行 中 用 到 的 函数 new_name() 为 每 个 后 继 调 用 生成 一 个 新 名 字 。 函 数 
Newl(y). New2(). Nextl(y) Al Next2(y) 的 定义 如 表 6.1 所 示 。 
为 了 转换 公式 p， 算 法 从 包含 唯一 人 边 的 单个 节点 开始 (第 39~40 行 )， 这 条 人 边 始 于 一 个 
特殊 的 伪 节 点 init。 另 外 ， 有 New= {g}, Old = Nezt = Ø. Pin, A 6.8 是 算法 构建 
4UGCBUC) 自 动机 的 初始 节点 。 
























4UCBUC) 


init 


Incoming 

















36.1 LTL 转换 算法 中 的 拆 分 表 

7 Newl( nD Next1( m New2( P Next2 Gp 
un Up (a) (a Uy) w | Z Nor 
RVG {gh Ë {pg V g) {us p) T g 
V (e) Ø | {p} g 

A ie | @ | 

y ， 一 一 

a er | _— | 
Op g 

















图 6.8 初始 节点 
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对 当前 节点 *， 算 法 检查 s HR New 中 是 否 存在 一 个 待 处 理 的 子 公 式 (第 4 行 )。 如 果 不 存 
E. 则 当前 节点 的 处 理 完成 。 然 后 算法 检查 是 否 应 该 将 当前 节点 加 入 Nodes_ Set 中 ; 如 果 在 
Nodes_Set 中 存在 一 个 节点 rx， 其 中 rr 的 Olq M Next 域 中 的 子 公 式 和 s 的 相同 (第 5—6 47), I 
么 不 再 需要 节点 s( 它 的 空间 可 以 被 再 利用 )。 此 时 ， 将 ;的 入 边 集合 加 入 r 的 人 边 集合 中 (第 7 
49). BUM, MWR Nodes_Set 中 不 存在 一 个 这 样 的 节点 ,将 ;加 入 Nodes_Set， 生 成 一 个 新 的 当前 
节点 如 下 (第 9 一 11 A): 

° 存在 从 到， WL, BH ;是 s 的 后 继 。 

。 s' 的 域 New 初始 为 的 INext。 

。 sR Next Ml Old 初始 设置 为 空 。 

图 6. 11 是 一 个 生成 新 的 当前 节点 的 示例 。 

每 个 全 括号 内 的 时 序 公式 都 有 一 个 主 模 态 (main modal) 或 是 主 布尔 算 子 。 这 个 模 态 或 是 算 
子 出 现在 最 外 层 的 括号 内 〈 而 公式 在 全 括号 内 )。 例 如 ， 公 式 ( 口 (AV (BA C))) 的 主 模 态 是 
“O”. AR CAVCOBAO)) 中 的 主 运算 符 是 “V”。 

如 果 s HY New 域 非 空 ， 则 New 中 的 一 个 公式 了 将 被 选中 〈 第 13 行 ) ， 并 从 New 中 移 除 。 根 
据 了 的 主 模 态 或 是 布尔 算 子 ， 节 点 s 被 拆 分 为 两 个 副本 s 和 s (第 20 一 28 行 ) ， 或 者 演化 〈 精 炼 ) 
为 一 个 新 版 本 (第 16 一 19 行 以 及 第 29 一 36 行 )。 形 成 新 节点 首先 要 为 节点 选择 新 和 名字， 并 且 复 
制 p RIR Incoming, Old, New 和 Next 中 的 内 容 。 然 后 将 7 加 入 Old 的 公式 集合 中 。 此 外 ， 根 
据 下 列 不 同情 况 ， 添加 公式 到 s Als, R s' 的 域 New #1 Next 中 ， 

7 是 一 个 命题 ， 一 个 命题 的 否定 ， 或 一 个 布尔 常量 。 如 果 ?是 false, R Old 中 有 -7( 我 们 认 

为 y 与 ~" 相等)， 由 于 包含 矛盾 而 无 法 被 满足 ， 当 前 节点 将 被 舍弃 (第 16 一 19 行 )。 否 
则 ， 节 点 如 上 所 述 演化 为 。 
15e Uy 节点 :被 拆 分 为 两 个 副本 s 和 s, GB 20 一 28 行 ) 。 对 第 一 个 副本 s, 3 z MBA New 
且 wUy 加 入 Nezxr。 在 此 拆 分 和 其 他 任何 拆 分 中 ， 第 一 个 副本 可 以 重用 旧 节 点 * 的 空间 。 对 
第 二 个 副本 s, 38 JH A New。 拆 分 是 根据 p Up SOF OV GAOUD) 进行 的 。 例 如 ， 
将 图 6. 8 中 的 节点 拆 分 得 到 图 6. 9 中 的 两 个 节点 。 其 中 7 一 A UCB UC)， 即 一 A 和 y= 
BUC。 进一步 拆 分 图 6.9 中 的 右 节 点 得 到 图 6. 10， 此 时 m= BUC, 因此 yw 一 B 和 y=C。 
init 


Incoming 


New: Old: 
BUC AU(BUC) 








init 


New: Ola: 

A AU(BUC) 
Next: 
AUCBUC) 


图 6.9 拆 分 图 6.8 中 的 节点 


init 















init 








New: Old: New: Old: 
B BUC, AU (BUC C BUC, AU BUC 


Next: 
BUC 








6.10 拆 分 图 6.9 中 的 右 节点 
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7 二 jk Vy 节点 p 被 拆 分 为 两 个 副本 s， 和 = (第 20 一 28 行 )。 然 后 将 $y 加 入 si 和 的 New, 
加 入 si BJ New, p Vy 加 入 ss 的 Nezxt。 此 处 拆 分 是 根据 jy Vo SRF ¿A (V OC Vg) 
进行 的 。 

ZVA 然后 ，p 被 拆 分 为 两 个 副本 s: 和 (第 20~28 fF). Hu MUA s, BJ New, yy 加 入 
s, 的 New. 

7 二 Ay 然后 ，s 演化 为 (第 29~32 行 )。 为 了 满足 %， 和 需要 同时 满足 两 个 子 公式 py 和 vy， 
Ki z Aly BIA s 的 New, 

y=On AE, s 演化 为 了 (第 33 一 36 行 )， 将 /加 入 了 的 Next. 

然后 算法 将 递归 地 扩展 新 生成 的 副本 。 

由 如 上 算法 构建 的 Nodes_Set 节点 集合 ， 现 在 可 以 转换 为 一 个 广 

X Biichi 自动 机 8 二 <，S，A，1,， LL，F)， 其 中 : 
。 字母 表 瑟 包含 被 转换 公式 p 的 命题 AP 集合 中 否定 和 非 否定 命 





init 


New: Old: 
A, AUCBUC) 
Next: 
AU(BUC) 











题 的 合 取 命题 公式 。 
° 状态 集合 S 由 Nodes_Set 中 的 节点 组 成 。 
. (s, SEA, HH se Incoming(s'). New. 
° 初始 状态 集合 ICS 是 包含 特殊 人 边 init 的 节点 集合 。 bee 





° LO  Old(s) 中 否定 和 非 否 命题 的 合 取 命题 。 
° 广义 Biichi 自动 机 的 接受 条 件 中 ，j Uy 公式 的 每 一 个 子 公 式 有 
一 个 单独 的 状态 集合 fE€ FF， 使 得 p€ Old(s) R py Ups Old(s) 
的 所 有 状态 * ROS f. 图 6.11 生成 后 继 节 点 
图 6. 12 是 由 A U(B UC) 公式 所 构建 的 节点 组 。 图 6. 13 是 相应 的 广义 Büchi 自动 机 ， 包含 
两 个 接受 集合 ， 分 别 对 应 B UC 和 A UCBUO, 





Ola: 
C,BUC,AUCBUC) 






Old: 
A,AUCBUC) 











Next: 
AUCBUC) 





Next: 


























图 6.12 终止 时 的 Nodes_Set 集合 
该 算法 构建 的 节点 数 和 时 间 复 杂 度 随 公式 大 小 的 增长 旦 指数 级 增长 。 然而 ， 经 验 显 示 生 成 
的 自动 机 通常 较 小 。 观 察 可 知 不 必 在 Old 中 记录 形 如 wVvw eA v 和 Ojy 的 子 公式 ， 除 非 这 些 公式 
出 现在 直到 子 公式 的 等 式 右 侧 ， 这 样 可 以 改进 上 述 转换 算法 。 上 述 限制 是 因为 直到 子 公 式 的 等 
式 右 侧 用 于 定义 接受 条 件 。 
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图 6.13 包含 接受 节点 的 自动 机 


基于 状态 间 关 系 的 另 一 个 改进 称 为 互 模拟 〈bisimulation) 。 直 党 上 ， 将 一 对 标签 和 接受 条 件 
一 致 的 状态 相关 联 ， 并 且 这 对 状态 的 后 继 也 相互 关联 。 再 进一步 ， 这 些 后 继 的 后 继 也 必须 有 一 臻 
的 标签 和 接受 条 件 并 且 相 互 关 联 ， 如 此 继续 。 互 仿真 的 形式 化 定义 将 在 8.5.3 节 给 出 ， 最 简化 的 
互 仿真 算法 在 8. 8 节 给 出 。 

回顾 一 下 6. 3 节 中 的 等 式 〈6. 2) ， 在 模型 检验 中 我 们 用 自动 机 表示 坏 行为 ， 即 不 被 规约 p 允 
许 的 行为 。 先 变换 g 为 一 个 自动 机 ， 再 计算 它 的 补 集 可 能 会 导致 双 倍 指数 级 大 小 增长 。 一 个 更 好 
的 解决 方案 是 先 通过 在 g 前 添加 否定 符号 计算 p 的 和 否定， 然后 将 否定 规约 ”gp 转换 为 自动 机 。 此 
时 最 差 可 能 引起 单个 指数 级 爆炸 ， 而 在 实际 情况 中 ， 如 上 转换 产生 的 自动 机 结果 通常 很 小 。 


6.9 模型 检验 的 复杂 度 

为 了 判定 模型 检验 的 复杂 度 ， 我 们 首先 需要 决定 如 何 衡量 输入 的 大 小 。 模 型 检验 算法 的 两 
个 输入 是 系统 模型 和 属性 规约 。 它 们 可 以 通过 多 种 方法 表示 ， 而 各 个 表示 方法 的 规模 差别 很 大 。 

例如 ， 属 性 规约 可 以 用 Biichi 自动 机 〈 接 受 不 被 允许 的 序列 ) 、LTL， 或 是 一 元 一 阶 或 二 阶 
逻辑 表示 〈 见 5. 8 节 )。 模 型 检验 的 复杂 度 与 规约 大 小 存在 着 函数 关系 ， 因 此 它 紧密 依赖 于 选择 
何 种 规约 ， 对 于 Biichi 自动 机 是 多 项 式 级 时 间 复 杂 度 (事实 上 ， 可 以 在 非 确 定 对 数 级 空间 复杂 度 
内 完成 )， 对 于 LTL 表示 法 是 PSPACE， 而 对 于 一 元 一 阶 或 二 阶 逻 辑 是 NONELEMENTARY。 

这 直接 提出 了 如 何 选取 规约 机 制 以 获得 最 小 模型 检验 复杂 度 的 问题 。 如 5. 8 区 所 述 ， 减 小 此 
复杂 度 却 有 可 能 伴随 着 增加 规约 大 小 的 开销 。 例 如 ， 使 用 Biichi 自动 机 的 模型 检验 与 使 用 同样 大 
小 的 LTL 规约 的 模型 检验 相 比 ， 前 者 的 速度 指数 级 快 于 后 者 。 

男 一 方面 ，LTL 规约 大 小 指数 级 小 于 相应 的 Biichi 自动 机 表示 。 类 似 地 ， 检 验 一 元 一 阶 逻 辑 
规约 NONELEMENTARY 级 慢 于 检验 相同 大 小 的 LTL 规约 。 另 一 方面 ， 一 元 一 阶 逻 辑 规 约 的 
大 小 可 能 显著 小 于 相应 的 LTL 表示 方法 [134]。 

实际 中 ， 一 个 好 的 规约 机 制 需要 满足 ;许多 常用 的 规约 相对 简短 且 易 于 检验 。 软 件 和 硬件 中 
一 般 常 见 属性 的 LTL 规约 通常 都 较为 简短 (尽管 某 些 情况 中 ， 表 示 相 同 规约 时 一 元 一 阶 公式 比 
LTL 公式 要 简短 得 多 )， 易 于 理解 ， 并 且 使 用 广泛 。 相 应 地 ， 我 们 选择 LTL 作为 规约 机 制 来 进 
行 模型 检验 的 复杂 度 分 析 。 

关于 模型 检验 的 复杂 度 我 们 还 需要 考虑 的 参数 是 系统 模型 的 大 小 。 假 设 一 个 并 发 系统 中 及 
个 独立 的 组 件 〈 进 程 》P,，…，P,， 如 4.9 节 中 定义 ， 其 中 P, Am, 个 本 地 状态 ,使 用 并 发 运算 
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符 “ 上 ”连接 它们 。 因 此 ， 系 统 每 个 状态 都 是 = 个 本 地 状态 的 组 合 。 因 此 ， 全 局 状态 的 数目 受 限 


于 乘积 [m 。 如 果 所 有 进程 的 大 小 都 等 于 m， 那 么 状态 空间 中 最 多 有 me 状态 ， 也 就 是 说 ， 这 


里 状态 空间 与 进程 数 之 间 是 指数 级 关系 。 在 本 章 描述 的 模型 检验 算法 中 ， 我 们 在 全 局 状态 空间 
大 小 的 多 项 式 级 时 间 内 完成 验证 〈 或 是 非 确定 对 数 级 空间 ) 。 
然而 ， 使 用 全 局 状态 空间 衡量 输入 大 小 是 非常 粗略 的 估计 方法 : 系统 的 自然 描述 是 使 用 某 


种 编程 语言 写成 的 代码 ， 它 与 组 件 的 大 小 成 比例 ， 即 > m, ， 而 不 是 与 全 局 状态 空间 大 小 相关 。 


因此 ， 我 们 将 被 验证 模型 的 大 小 估算 为 本 地 自动 机 大 小 的 和 ， 而 不 是 乘积 。 简 单 假设 所 有 进程 都 
拥有 相同 的 状态 数 m， 那 么 ， 一 个 时 间 复 杂 度 为 全 局 状态 空间 的 多 项 式 级 〈 即 上 界 m) 的 算法 
实际 上 是 其 输入 大 小 的 指数 级 (il mXn)。 

BTR, TA LTL 模型 检验 复杂 度 的 一 个 相当 理论 化 的 分 析 ， 读 者 可 以 直接 跳 过 本 节 。 为 
了 说 明 LTL 模型 检验 复杂 度 的 上 界 ， 我 们 先 简单 介绍 另 一 个 与 6.8 节 中 所 述 不 同 的 将 LTL 转换 
为 Biichi 自动 机 的 转换 方法 [144]。 在 这 种 转换 方法 中 ， 对 于 属性 p 自动 机 中 每 个 状态 分 别 包 含 
一 个 一 致 性 组 件 和 一 个 活性 组 件 。 

此 处 ， 我 们 不 再 使 用 6. 8 节 变 换 中 给 出 的 否定 范式 ， 而 是 使 用 另 一 种 范式 。 我 们 假设 待 转换 
公式 p 中 不 包含 释放 运算 符 “V”。 如 果 包 含 ， 则 使 用 等 价 关 系 加 V =—(C 0) UGC t) PR 
它 ， 公 式 大 小 只 会 增加 一 个 常量 因子 。 类 似 地 ， 公 式 中 也 不 包含 总 是 模 态 算 子 “ 口 ”( 其 中 口 yy 
mOn ¢= Crue mgp). 

PHAM, Ace), AR 9 的 子 公式 和 它们 的 和 否定。 对 于 形 如 少 Uy 的 直到 公式 ， 闭 包 同 
样 包括 O 〇 (Cy Up 及 其 否定 。 我 们 将 使 用 时 序 等 价 表示 -Oy 为 O~y， mm9p 为 p。 对 于 dlp) 中 
的 每 个 公式 ， 每 个 一 致 性 组 件 仅 包含 y 和 my 中 的 一 员 。 因 此 ,对 于 g 二 A UCB UO, o 包 
@ A, “A, B, aB, C, =C, BUC, ~B UC, O(BUO, O“BUO), A U(B UG), -A 
UCBUC)), OCA U(B UO), OKA UG UO). 

此 外 ， 一致 性 组 件 必须 满足 下 列 限制 ， 

。 如 果 包 含 直到 公式 w Uy， 那 么 它 必须 包含 yp， 或 是 同时 包含 OC UP Alp. 

` 如 果 包 含 形 如 pV yy 的 公式 ， 那 么 它 必 须 包含 yy 或 y， 

。 如 果 包 含 形 如 pAy 的 公式 ， 那么 它 必须 同时 包含 yy 和 y。 

当 一 个 状态 "是 状态 s 的 后 继 时 ， 需 满足 ， 如 果 s 的 一 致 性 组 件 包含 形 如 Oy 的 子 公式 ， 那 
么 7 的 一 致 性 组 件 必须 包含 y。 因 此 ， 一 致 性 组 件 保 证 了 相 邻 状态 间 的 一 致 性 。 

每 个 状态 的 活性 组 件 包含 形 如 p Uy 的 y 中 直到 子 公式 的 一 个 子 集 。 考虑 状态 和 后 继 ，， 
如 果 s 的 活路 性 组 件 为 空 ， 那 么 x 的 活性 组 件 将 包含 出 现在 + 的 一 致 性 组 件 中 的 所 有 直到 子 公 
式 。 否 则 〈 当 ;的 活性 组 件 非 空 时 )， 对 每 一 个 在 :的 活性 组 件 中 出 现 的 x Uy 公式， 仅 当 ; 的 一 
致 性 组 件 中 没有 出 现 少 时 ，w Uy 必须 出 现在 r 的 活性 组 件 中 。 直 观 而 言 ， 活 性 维护 了 仍 需 被 满 
是 的 直到 子 公式 的 集合 。 只 要 从 某 状态 开始 a Uy 子 公式 被 满足 ， 由 于 相关 状态 满足 了 Jy， 那么 
它 将 从 活性 组 件 中 被 移 除 。 当 所 有 直到 子 公式 都 被 满足 ， 即 活性 组 件 为 空 ， 将 从 一 致 性 组 件 复制 
需要 被 满足 的 直到 子 公 式 集合 。 如 果 lo) 中 不 存在 任何 直到 公式 ， 那么 所 有 状态 都 是 接受 
状态 。 

初始 状态 中 的 一 致 性 组 件 包含 待 转换 公式 pg 自身 ， 其 活性 组 件 为 空 。 

6. 8 节 介绍 的 转换 产生 的 自动 机 [49] 比 这 里 描述 的 要 小 很 多 。 然而， 使 用 本 节 中 为 了 复杂 
度 分 析 而 给 出 的 蔡 代 算法 的 优点 是 : 可 以 在 多 项 式 空间 (和 时 间 〉 内 检验 (1》 给 定 的 状态 是 否 
属于 转换 ，(2) 根据 上 述 约束 给 定 状态 是 否 是 另 一 状态 的 后 继 。 这 个 检验 过 程 不 需要 先 完成 所 有 
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节点 和 边 的 构建 。 需 要 注意 的 是 转换 中 每 个 状态 的 大 小 是 待 转换 LTL 公式 大 小 的 多 项 式 级 ， 尽 
管状 态 数 量 是 指数 级 。 

现在 ， 我 们 可 以 在 未 完成 相关 自动 机 构建 的 情况 下 对 属性 自动 机 与 系统 自动 机 的 科 卡 儿 莱 
积 状 态 空间 进行 搜索 。 这 个 搜索 是 为 了 寻找 从 初始 状态 可 达 的 接受 状态 *， 并 且 从 可 以 抵达 自 
身 。 如 果 存 在 一 个 这 样 的 状态 ， 那 么 系统 不 满足 它 的 规约 。 为 了 空间 有 效 性 ， 我 们 使 用 二 分 搜索 
法 。 递 归 地 描述 如 下 : 为 了 寻找 从 状态 到 状态 r 是 否 存 在 一 条 长 度 不 大 于 i 的 路 径 (简单 假设 / 
为 2 的 寄 次 )， 我 们 需要 寻找 状态 g 使 得 存在 (1) 一 条 从 :到 9g 长度 不 大 于 4/2 的 路 径 ; (2) 一 
条 从 g 到 7 长度 不 大 于 1/2 的 路 径 。 当 长 度 为 1 时 ， 检 验 是 否 存在 从 * 到 > 的 路 径 意味 着 检验 + 是 
否 是 s 的 后 继 ， 而 这 个 已 知 可 在 多 项 式 时 间 内 完成 。 

在 二 分 搜索 中 需要 的 最 大 状态 存储 数目 是 log !， 其 中 每 个 状态 的 大 小 是 p 和 进程 数 ”的 多 项 
式 级 。 路 径 的 最 大 长 度 是 自动 机 状态 空间 大 小 (wr) 与 gp 的 Bichi 自动 机 大 小 (41r' ,其 中 |p| 是 
公式 9 的 长 度 ) 的 乘积 。 每 个 状态 的 大 小 是 nXlog m 和 |g| 的 多 项 式 级 。 简 单 计算 可 知 二 分 搜索 的 
总 体 空 间 复 杂 度 是 | o| 和 的 多 项 式 级 。 由 此 可 知 ， 模 型 检验 的 复杂 度 上 界 为 PSPACE, 

对 于 被 建 模 系统 的 大 小 ， 由 Kozen [77] 可 知 ， 复杂 度 下 界 是 PSPACE。 这 样 ， 即 使 是 检验 
自动 机 集合 的 交集 中 某 个 状态 的 可 达 性 检验 之 类 的 简单 属性 ， 也 是 PSPACE 完全 的 。Clarke 和 
Sistla [132] 指 出， 相对 于 待 验证 的 LTL 属性 的 大 小 ， 模 型 检验 也 是 PSPACE 完全 的 。 因 此 ， 
LTL 属性 的 模型 检验 对 于 系统 大 小 和 待 验证 属性 大 小 都 是 PSPACE 完全 的 。 


6.10 ”表示 公平 性 

如 果 希 望 在 公平 性 假设 下 完成 模型 检验 ， 就 需要 对 模型 检验 算法 进行 相应 的 调整 。 

在 用 LTL 描述 的 公平 性 假设 少 下 ， 检 验 系统 S 是 否 满足 性 质 o 的 一 种 方法 ， 是 证 明 S 满足 
Yo. PRE, 的 每 一 个 执行 在 少 下 是 公平 的 并 且 满足 p。 这 并 不 是 检验 公平 性 的 一 种 有 效 
方法 ， 因 为 公平 性 公式 py 可 能 很 大 ， 将 其 转换 后 可 能 产生 一 个 相当 大 的 Bichi 自动 机 。 

在 公平 性 下 检验 属性 的 另 一 种 方法 是 修改 验证 算法 [88]。 例 如 ， 考 虚弱 转换 公平 性 的 情况 。 
一 个 公平 的 执行 是 其 中 每 一 个 转换 都 无 限 多 次 不 可 执行 或 是 被 执行 无 限 多 次 (或 是 两 者 都 有 )。 
为 了 检验 这 个 ， 假 设 不 同 的 转换 都 有 各 自 唯一 的 名 字 。 我 们 在 每 条 边 上 标记 相应 的 转换 名 。 现 在 
可 以 检验 由 Tarjan 的 DFS 算法 获得 的 每 个 可 达 的 强 连通 组 件 。 我 们 称 这 样 的 一 个 组 件 包含 一 个 
反例 ， 仅 当 针对 其 中 每 个 转换 + 它 包 含 下 列 两 者 之 一 ， 

。 存在 一 条 标记 为 :的 边 。 

。 存在 一 个 上 不 可 执行 的 状态 。 

我 们 可 以 证 明 : 如 果 存 在 一 个 这 样 的 强 连通 组 件 ， 就 存在 一 个 公平 性 反例 。 这 个 反例 将 循环 
Hh RAED) 通过 这 个 组 件 中 所 有 的 状态 和 边 。 事 实 上 这 给 出 了 一 个 无 限 重 复 的 反 合 。 这 样 ， 
对 每 一 个 转换 t 将 有 无 限 多 个 状态 ,其 中 要 么 :不 可 执行 ,要么 1 出 现 无 限 多 次 。 反 之 ， 如 果 存 
在 一 个 公平 性 反例 ， 那 么 它 必 须 是 满足 上 述 条 件 的 强 连通 组 件 中 的 某 一 部 分 。 

类 似 的 算法 也 出 现在 其 他 的 公平 性 假设 中 ， 包 括 在 4. 12 节 中 提 到 的 算法 。 我们 可 以 定义 比 
简单 Bichi 接受 条 件 更 为 复杂 的 接受 条 件 (但 可 以 通过 相同 的 语言 集合 来 描述 ) [141]。 这 样 的 
接受 条 件 可 以 用 于 表示 系统 自动 机 的 多 种 公平 性 条 件 [3] 。 


6. 11 检验 LTL 规约 


LTL 转换 算法 和 Büchi 自动 机 的 空 集 检验 算法 可 以 用 于 检验 LTL 公式 的 有 效 性 。 回 顾 一 下 ， 
一 个 LTL 命题 公式 是 有 效 的 ， 当 且 仅 当 在 公式 命题 集合 上 它 对 每 个 可 能 的 序列 都 满足 。 这 对 检 
验 是 否 一 个 规约 p 比 另 一 个 y 更 强 (p>y 是 否 有 效 ) 很 有 帮助 。 此 时 ， 如 果 我 们 验证 一 个 系统 
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满足 gp， 那么 它 也 满足 g 

我 们 同样 关注 于 检验 某 个 规约 p 是 否 被 至 少 一 条 序列 满足 ， 即 它 不 包含 内 部 矛盾 。 如 果 没 有 
任何 执行 序列 满足 这 个 属性 ， 那 么 相应 的 规约 显然 是 无 用 的 。 

有 效 性 和 可 满足 性 之 间 的 关系 显而易见 ， 一 个 公式 p EARR, Np 不 被 满足 。 因 此 ， 
检验 一 个 公式 p 是 否 有 效 可 以 通过 添加 否定 符号 的 前 级 并 检验 了 gp 是 否 不 被 满足 来 完成 。 

RH, RNA RR) 公式 的 有 效 性 判定 问题 为 一 个 我 们 已 知 如 何 解决 的 问题 

1. Bog 转换 为 自动 机 4， 如 6.8 节 所 述 。 

2. 检验 A 的 语言 CLA) 是 否 为 空 ， 如 6. 6 节 所 述 。 
.4 的 语言 恰 是 满足 公式 ”yp 的 执行 集合 。 如 果 为 空 ， 那 么 mp 不 被 满足 ， 即 p 是 有 效 的 。 

有 时 我 们 会 观察 到 转换 算法 可 能 生成 比 "p 指数 级 大 的 自动 机 。 而 空 集 检验 的 复杂 度 是 自动 
机 大 小 的 线性 级 别 。 因 此 上 述 算 法 的 复杂 度 是 公式 大 小 的 指数 级 。 事 实 上 ， 我 们 利用 6. 9 节 所 描 
述 的 算法 ， 使 用 二 分 搜索 技术 能 够 更 高 效 地 〈 从 空间 复杂 度 层 面 上 ) 检验 OK) 可 满足 性 。 其 
中 ， 对 ”9 的 自动 机 状态 空间 的 二 分 搜索 并 不 需要 预先 完整 构建 整个 自动 机 [144]。 检 验 LTL B 
AN CR) 可 满足 性 的 复杂 度 也 同样 是 PSPACE 完全 的 [132]. 


6.12 安全 属性 


时 序 属性 的 一 个 重要 类 别称 为 安全 属性 (safety property), Lamport [83] 非 正式 地 描述 安 
全 属性 为 “永远 没有 坏 的 事情 发 生 ”。 试 图 形式 化 地 描述 这 一 重要 属性 的 尝试 很 多 ， 如 使 用 拓扑 
ZARR EFEKTE. AE, RIRA Alpern 和 Schneider [5] 的 基于 自动 机 的 定 
义 。 描 述 安全 性 的 简单 结构 自动 机 可 以 立即 被 转换 为 模型 检验 算法 [131]. 

为 了 直观 地 说 明 安 全 性 质 ， 首 先 考虑 一 个 不 变 式 的 简单 案例 。 一 个 不 变 式 必 须 被 整个 执行 
序列 满足 。 相 应 地 ， 可 能 发 生 的 “ 坏 ” 事 情 就 是 我 们 到 达 了 某 个 不 满足 不 变 式 的 状态 。 例 如 ， 可 
能 有 一 个 状态 ， 它 的 两 个 进程 都 同时 在 临界 区 内 。 因 此 ， 一 个 不 变 式 是 一 个 安全 属性 。 然 而 ， 安 
全 性 可 能 比 这 个 例子 更 为 普遍 。 在 非 正 式 定 义 的 安全 性 中 ， 坏 事情 并 不 必 是 程序 执行 序列 中 的 
一 个 坏 状态 的 结果 。 它 可 能 对 应 于 某 个 顺序 的 有 限 状 态 序 列 ， 例 如 ， 一 个 消息 在 其 他 消息 前 到 达 
消息 队列 ， 却 在 之 后 被 读 取 。 . 

我 们 可 以 建立 一 类 自动 机 ， 用 于 识别 安全 属性 的 否定 。 对 于 一 个 给 定 的 安全 属性 ， 该 自动 机 
将 发 现 执行 中 违反 安全 性 的 前 级 。 这 样 的 前 缀 将 包含 坏事 情 已 经 发 生 的 证 据 ， 从 而 ， 整 个 执行 序 
列 可 以 被 认定 为 坏 的 而 被 丢弃 。 这 个 前 组 的 运行 中 最 后 一 个 状态 将 会 被 标记 为 坏 状态 从 而 与 其 
他 状态 相 区 别 。 需 要 注意 的 是 ， 属 性 自动 机 的 状态 对 应 于 自动 机 在 输入 字 有 限 前 级 上 的 运行 中 
收集 的 信息 。 在 这 个 自动 机 的 运行 中 ， 当 进入 一 个 坏 状态 时 ， 整 个 执行 被 看 做 违反 安全 条 件 。 因 
些 ， 沿 着 到 达 坏 状态 的 执行 上 的 有 限 前 级 的 运行 ， 足 以 识别 待 验证 模型 的 执行 序列 违反 了 安全 
性 .无 论 在 这 个 〈 无 限 ) 执行 上 的 〈 无 限 ) 运行 如 何 继续 ， 都 已 违反 了 安全 人 性。 

因此 ， 将 一 个 安全 自动 机 定义 为 六 元 组 MCS, S, A, I, L, B). EF E, S, A, IMLE 
义 与 Bichi 自动 机 中 相同 。 集 合 BOS 是 坏 状态 的 集合 。 我 们 称 SN B 中 的 状态 是 好 状态 ， 相关 
限制 包括 ， 

1 一 个 坏 状 态 没有 任何 后 继 。 这 是 因为 ， 当 到 达 坏 状态 时 ， 已 经 违反 了 安全 性 。 对 于 安全 
属性 ， 发 现 违 反 该 属性 的 执行 前 缠 已 经 足够 。 

2. 令 g 是 一 个 好 状态 ，q, ，…，g, HEERE, H LC) VV LCg,) = true, 因而 ， 如 果 
没有 违反 安全 性 ， 就 不 能 对 这 个 执行 作出 判断 ， 这 样 也 就 总 是 存在 一 个 后 继 自动 机 状态 . 

安全 自动 机 可 以 是 非 确定 的 ， 即 使 对 每 个 安全 属性 都 存在 对 应 的 确定 性 自动 机 〈 可 能 大 于 
指数 级 )。 自 动机 运行 的 定义 类 似 于 Btuchi 自动 机 。 唯一 的 不 同 是 一 个 执行 违反 安全 属性 ， 仅 当 
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存在 一 个 运行 在 有 限 前 级 后 到 达 B 中 的 某 个 坏 状态 。 需 要 注意 在 这 种 情况 中 ， 由 于 B 中 状态 没 
有 后 继 ， 因 此 运行 是 有 限 的 。 一 个 安全 自动 机 8 可 以 识别 违反 安全 属性 的 执行 前 缀 因此， 用 B 
表示 自动 机 ， 而 不 是 8) 。 在 非 确定 性 安全 自动 机 中 ， 即 使 存在 其 他 从 不 到 达 坏 状态 的 运行 ， 一 
个 到 达 坏 状态 的 运行 已 足够 判定 执行 违反 安全 属性 。 

我 们 可 以 根据 以 下 步骤 转换 安全 自动 机 到 Biichi 自动 机 : 添加 一 个 状态 1 到 安全 自动 机 ， 并 
标记 为 true。 这 个 状态 包含 一 个 自 循环 。 对 每 个 坏 状 态 添加 一 条 到 1 的 边 。 状 态 1 是 这 个 自动 机 
的 唯一 接受 状态 ， 同 时 坏 状 态 可 以 被 忽略 。 

这 样 构造 出 的 安全 自动 机 允许 我 们 简化 模型 检验 算法 。 我们 希望 找到 违反 安全 属性 的 执行 
的 有 限 前 级 ， 其 中 存在 同时 属于 系统 自动 机 A 和 安全 自动 机 5 的 有 限 序列 。A 和 BB 的 交集 定义 如 
T: 交集 的 每 个 状态 是 包含 4 中 状态 和 B85 中 状态 的 一 组 状态 。 交 和 集 的 初始 状态 是 4 和 B 的 初始 状态 
组 。 转 换 关系 将 一 组 状态 与 男 一 组 相关 联 ， 使 得 组 件 .4A 执行 一 个 A 中 的 转换 ， 组 件 B 执 行 一 个 B 中 
的 转换 。 交 集中 的 状态 是 坏 状 态 ， 仅 当 其 5 组 件 是 坏 状 态 。 

用 一 组 坏 状态 替换 Bichi 条 件 给 出 了 更 简单 的 模型 检验 算法 。 通 常 ， 我 们 在 可 达 强 连通 组 件 
中 搜索 一 个 可 达 的 Büch 接受 状态 ， 然 后 构建 一 个 反例 ， 它 包含 一 个 经 过 接受 状态 的 循环 的 有 限 
前 级 。 这 里 ， 我 们 寻找 从 交集 中 初始 状态 可 达 的 坏 状 态 。 作 为 反例 ， 由 于 错误 已 经 出 现在 前 绥 
中 ， 因 此 足够 给 出 从 初始 状态 到 坏 状态 的 前 级 。 因 此 ， 一 个 简单 的 “随时 ”DFS 足以 搜索 出 这 
样 的 状态 。 值 得 注意 的 是 ， 此 方法 不 需要 计算 交集 图 的 强 连通 分 量 。 


6. 13 状态 空间 爆炸 问题 

模型 检验 的 主要 挑战 是 缓解 状态 空间 爆炸 问题 。 这 个 问题 反映 出 ， 由 一 组 并 发 组 件 构成 的 
系统 的 状态 数 ， 是 各 个 并 发 组 件 的 状态 数 的 乘积 。 如 果 一 个 系统 包含 个 相同 的 组 件 ， 每 个 组 件 
及 个 状态 ， 且 进程 间 没 有 通信 或 不 使 用 共享 变量 交互 ， 那么 有 mm" 个 状态 (m 种 可 能 性 的 个 
独立 选择 ) 。 当 然 ， 在 更 真实 的 情况 中 ， 进 程 间 的 交互 可 能 显著 限制 可 能 的 状态 数 ， 尽管 如 此 ， 
状态 数目 可 能 仍然 居 高 不 下 。 

有 多 种 针对 状态 空间 爆炸 问题 的 策略 ， 但 没有 一 种 能 保证 这 个 问题 得 到 有 效 解决 。 经 验 和 
实验 可 以 用 来 帮助 寻找 究 况 应 该 使 用 哪 种 策略 或 是 策略 间 的 组 合 。 许多 模型 检验 工具 最 多 包含 
其 中 一 条 策略 。 

我 们 将 列 出 其 中 一 些 策略 。 感 兴趣 的 读者 可 以 在 [30] 中 找到 更 多 的 细节 信息 。 

二 又 判定 图 (Binary Decision Diagram) [24], 应 对 状态 空间 爆炸 的 一 种 重要 技术 ， 避 免 分 
开 计算 和 存储 待 验证 系统 中 的 每 个 状态 。 不 再 将 每 个 状态 作为 一 个 单独 的 实体 存储 在 状态 空间 
中 ， 而 是 在 无 环 图 (cycle free diagram, DAG) 中 保存 状态 的 集合 。 合 并 同 构 子 树 (可 以 相互 映 
射 并 保存 后 继 关系 和 标签 的 子 树 ) 以 节约 空间 。 这 种 数据 结构 除了 应 用 于 深度 优先 搜索 ， 还 常用 
于 其 他 搜索 策略 中 。 搜 索 过 程 回溯 而 不 是 前 进 。 每 一 步 计 算 时 ， 一 次 性 计算 所 有 用 当前 DAG 表 
示 的 状态 前 驱 集 合 ， 而 不 是 一 个 状态 接着 一 个 状态 地 计算 。 

dh $ (Partial Order Reduction) [55, 113, 142]。 这 种 方法 允许 只 检验 执行 的 一 个 子 
集 ， 从 而 使 用 较 小 状态 空间 。 这 个 方法 利用 了 并 发 转换 间 的 交换 性 。 基 于 观察 可 知 ， 如 果 将 两 次 
执行 中 相同 的 并 发 事件 进行 重 排序 后 相互 一 致 《 即 相 同 偏 序 执行 所 产生 的 交错 序列 ， 见 4. 13 
节 )， 那 么 一 般 规约 无 法 区 分 这 两 次 不 同 的 执行 。 

对 称 性 〈Symmettry) [43], 这 个 方法 利用 状态 组 件 间 的 排列 顺序 。 观 察 可 知 ， 在 某 些 规约 
下 《特别 是 硬件 ) , 不 能 区 分 通过 排列 不 同 进程 的 各 种 组 件 而 获得 的 执行 。 因此 ， 这 种 情况 下 ， 
不 需要 遍历 全 部 可 能 的 状态 ， 而 是 对 在 排列 组 合 下 等 价 的 状态 集合 进行 统一 处 理 即 可 。 
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6. 14 ”模型 检验 的 优点 

模型 检验 大 部 分 是 自动 化 的 。 为 了 将 待 验证 系统 表示 为 工具 可 以 处 理 的 形式 ， 需 要 进行 建 
模 《〈 尽 管 有 些 时 候 也 可 以 自动 完成 )。 可 能 需要 抽象 处 理 来 约 简 验证 问题 的 复杂 度 。 此 外 ， 模 型 
检验 工具 的 使 用 者 通常 需要 设 定 一 些 验 证 参数 〈 例 如 ， 估 算 的 状态 数 ) 。 然 而 ， 相 比 于 其 他 软件 
可 靠 性 方法 ， 验 证 过 程 中 用 户 需要 处 理 的 部 分 相当 小 。 

模型 检验 是 基于 相对 容易 实现 的 技术 发 展 而 来 。 现 在 已 有 大 量 的 模型 检验 工具 〈 部 分 列 于 本 章 末 
尾 )， 这 些 工 具 使 得 我 们 可 以 检验 很 多 种 属性 。 此 外 ， 当 模型 检验 工具 发 现 系 统 不 满足 相关 属性 时 ， 
工具 会 提供 相关 重要 信息 ， 给 出 包含 违反 相应 属性 的 热 行 作为 反例 ， 从 而 可 以 用 于 对 系统 进行 调试 。 


6.15 ”模型 检验 的 缺点 


模型 检验 是 主要 由 验证 程序 自动 执行 的 一 组 算法 集合 。 实 际 中 ， 因 为 模型 检验 中 产生 的 组 
合 复杂 度 ， 用 户 必须 常常 提供 各 种 参数 以 调整 验证 过 程 ， 如 搜索 栈 大 小 、 人 允许 的 存储 器 大 小 和 模 
型 变量 间 的 顺序 。 这 意味 着 ， 在 很 多 情况 中 ， 模 型 检验 工具 的 使 用 者 是 使 用 这 种 工具 的 专家 ， 而 
在 某 些 情况 中 就 是 工具 的 开发 者 本 人 。 

模型 检验 ， 类 似 于 演绎 验证 ， 通 常 要 求 首先 建 模 待 验证 系统 。 模 型 检验 工具 通常 包含 一 个 内 
在 的 建 模 语言 。 某 些 时 候 ， 原 始 代 码 和 验证 工具 使 用 的 语法 间 的 自动 转换 是 可 行 的 。 然而， 验证 
工具 经 党 包 含 对 内 在 语法 的 特定 优化 和 启发 式 技术 ， 在 机 器 转换 中 这 些 信息 都 将 丢失。 而 且 ， 需 
验证 的 程序 最 初 通常 不 是 一 个 有 限 状 态 系 统 ， 因 此 进行 模型 检验 前 需要 进行 抽象 。 这 个 抽象 过 
程 通 常 是 手动 完成 。 结 果 ， 如 果 将 模型 检验 用 于 程序 的 抽象 模型 ， 并 发 现 了 错误 ， 我 们 通常 需要 
手工 确认 这 个 错误 是 真实 的 ， 而 不 是 原始 程序 和 相应 模型 间 不 一 致 而 产生 的 误 报 。 

软件 的 自动 验证 是 一 个 计算 难题 。 它 的 复杂 性 ， 如 6. 9 节 所 分 析 的 ， 使 它 在 不 久之 前 被 归 类 
为 无 法 解决 的 难题 。 硬 件 的 迅速 发 展 ， 以 及 针对 模型 检验 的 很 多 特殊 的 启发 式 技术 ， 使 得 自动 软 
件 验证 可 以 付 诸 实践 ， 至 少 用 于 某 些 软件 产品 的 抽象 版 本 。 然 而 ， 我 们 必须 记 住 已 知 的 复杂 度 问 
题 依然 存在 ， 自 动 软件 验证 仍 是 个 艰巨 的 任务 ， 由 于 存储 限制 或 时 间 限 制 而 非常 容易 失败 。 

现 有 的 自动 验证 工具 经 常 无 法 完成 验证 任务 ， 这 在 很 大 程度 上 依赖 于 特殊 的 启发 式 技术 。 
甚至 预测 给 定 的 工具 何 时 成 功 或 是 失败 也 很 难 。 原 因 之 一 是 即使 验证 某 个 特定 长 度 的 程序 ， 它 
们 所 需 的 状态 空间 大 小 之 间 也 区 别 显著 。 


6.16 选择 自动 验证 工具 


根据 经 验 法 则 ， 基 于 特定 的 观察 和 实验 ,在 给 定 的 技术 集中 可 以 指出 一 些 执行 性 能 更 优 的 
工具 。 例 如 ， 许 多 研究 人 员 相信 基于 BDDs [24] 的 工具 更 适 于 硬件 电路 验证 ， 而 基于 “即时 ” 
技术 [34]、 自 动机 理论 [144] 和 偏 序 约 简 [113] 的 工具 适 于 交错 软件 模型 优化 。 然 而 ， 这 些 
“初步 结论 并 不 是 一 成 不 变 的 。 

由 于 验证 工具 的 “专门 知识 ”通常 由 它们 的 特殊 启发 式 技术 来 证 明 ， 因 此 专门 针对 某 一 类 软 
件 进行 优化 的 验证 工具 并 不 罕见 。 例 如 ， 可 以 对 验证 工具 进行 专门 优化 来 处 理 包含 异步 消息 伟 
递 的 程序 ， 而 共享 变量 的 存在 则 可 能 抵消 大 部 分 优化 效果 。 因 此 ， 不 同 工 具 使 用 的 形式 化 间 的 自 
动 转换 通常 比 直接 使 用 给 定 工具 的 专用 语法 要 低 效 得 多 。 因 为 转换 过 程 通常 会 失掉 特定 目标 工 
具 优 化 后 的 特殊 结构 。 此 外 ， 中 立 并 全 面 的 “基准 ”可 以 帮助 我 们 在 不 同 工 具 间 作出 选择 . 


6.17 模型 检验 项 目 
习题 6. 17. 1 再 一 次 考虑 4. 6 节 中 Dekker MABE, 
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任务 1 将 此 算法 转换 为 一 种 模型 检验 工具 的 建 模 语言 〈 例 如 ， 使 用 下 一 节 中 列 出 的 某 个 工具 ) 。 
任务 2 将 下 列 属性 形式 化 为 相应 工具 的 规约 语言 ， 并 完成 验证 : 
排他 性 : 两 个 进程 不 能 同时 进入 临界 区 。 
活性 : 只 要 有 进程 试图 进入 其 临界 区 〈 通 过 设置 自己 的 变量 cl 或 c2 为 0)， 那 么 它 
最 终 总 可 以 进入 。 
任务 3 ( 进 阶 题 ) ”注意 以 下 的 模型 变 体 : | 
允许 每 个 进程 在 非 临界 区 有 自 循环 。 禁 止 这 个 自 循 环 时 ， 再 一 次 检验 。 
对 wait until turn 一 1， 人 允许 有 以 下 两 种 不 同 的 实现 ， 
1. 忙 等 待 ， 每 个 进程 检验 turn 的 值 ， 直 到 它 被 另 一 个 进程 设置 为 允许 继续 前 进 的 值 。 
2. EEF: 每 个 进程 自我 冻结 ， 直 到 其 继续 前 进 需要 的 值 被 其 他 进程 设置 。 
验证 上 述 属 性 的 所 有 组 合 情 况 。 检 验算 法 是 否 满足 活性 属性 。 现 在 ,通过 附加 弱 公 平 性 条 
件 ， 强 制 它 满足 活性 。 并 不 是 每 一 个 工具 都 提供 公平 性 ， 但 某 些 工具 允许 规约 公式 fair, XH 
情况 中 ， 不 再 检验 属性 pg， 而 是 等 价 地 检验 feir-~p。( 将 验证 结果 和 8.4 节 中 讨论 的 有 趣 现 象 进 
行 对 比 。) 
习题 6. 17.2 考虑 4.15 节 中 的 通信 协议 。 使 用 一 种 可 用 模型 检验 工具 中 的 形式 化 机 制 对 其 
建 模 。 检 验 习 题 5. 10. 3 中 的 形式 化 属性 。 


6. 18 模型 检验 工具 
COSPAN #1 FORMALCHECK 系统 可 以 从 Bell 实验 室 的 R. P. Kurshan 处 获得 ， 他 的 网 站 是 ， 
http: // cm. bell-labs. com/who/k/index. html 
MURPHY 模型 检验 工具 可 以 从 Stanford 大 学 获得 ，URL 如 下 : 
http://sprout. stanford. edu/dill/ murphi. htm! 
SPIN 模型 检验 工具 可 以 从 Bell 实验 室 获得 ，URL 如 下 ， 
http; //netlib. bell-labs. com/netlib/spin/ whatispin. html 
SMV 模型 检验 工具 可 以 从 CMU 获得 ，URL 如 下 ， 
http://www. cs. cmu. edu/ ~ modelcheck/code. html 
VIS 模型 检验 工具 可 以 从 Berkeley 获得 ，URL MF: 
http; //www-cad. EECS. Berkeley. EDU/Respep/Research/ vis 
需要 注意 的 是 ， 使 用 这 些 形式 化 方法 需要 填写 并 寄 出 相应 的 授权 表格 ， 并 遵守 相关 规章 制度 。 


6. 19 扩展 阅读 

关于 模型 检验 技术 的 最 新 综合 性 书籍 如 下 : 

E. M. Clarke, O. Grumberg, D. A. Peled, Model Checking, MIT Press 1999. 
它 提供 了 多 种 技术 和 启发 式 方法 ， 并 介绍 了 一 些 真 实 案例 。 

如 下 Kurshan 的 书 中 描述 了 基于 自动 机 的 模型 检验 方法 ， 

R. P. Kurshan, Computer Aided Verification of Coordinating Processes: the 

Automata-Theoretic Approach, Princeton University Press, 1995. 

还 有 一 些 书 中 介绍 了 基于 CTL RAR. E BDD 方法 的 模型 检验 技术 。 这 个 方法 党 
被 用 于 硬件 验证 ， 也 可 以 在 软件 中 应 用 。 

K. L. McMillan, Symbolic Model Checking, Kluwer Academic Press, 1993. 


Ch. Meinel, Th. Theobald, Algorithms and Data Structures in VLSI Design, 
Springer-Verlag, 1998. 
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“ 训 奏 陛下 ,” 杰 克 说 ,“ 这 不 是 我 写 的 ， 它 们 不 能 证 明 是 我 写 的 : 末尾 没有 签名 。” 
“要 是 你 没有 签名 ,” 国 王 说 ,，“ 只 能 说 明 情节 更 加 恶 党 。 你 一 定 是 想 干 坏事 ， 否 则 你 就 会 像 
一 个 诚实 的 人 那样 签 上 你 的 名 字 。” 
“当然 ， 这 就 证 明 他 有 罪 ,” 王 后 说 。 
刘易斯 . 卡 洛 尔 《爱丽 丝 漫 游 奇 境 记 》 


20 世纪 60 年 代 末 ， 一 些 研究 人 员 ， 特 别 是 Floyd [45」 和 Hoare [63]， 积 极 倡导 用 形式 化 
方法 来 验证 算法 和 计算 机 程序 的 理念 。 由 此 产生 了 结合 程序 文本 和 逻辑 的 形式 化 和 机制， 它们 用 
于 专门 开发 的 证 明 系 统 中 。 之 后 的 工作 考虑 了 加 入 多 种 编程 结构 ， 如 数组 变量 、 过 程 调用 [85] 
以 及 并 发 [86，108]。 这 些 证 明 系 统 也 可 以 被 反 过 来 用 : 根据 一 个 给 定 的 规约 ， 使 用 与 演绎 证 明 
相关 的 方法 和 工具 来 开发 正确 性 可 证 的 和 程序。 最近， 一 系列 强大 的 自动 化 的 定理 证 明 器 被 开发 
了 出 来 。 这 些 证 明 器 有 助 于 获得 正确 性 证 明 ， 以 及 确保 演绎 证 明 方法 被 正确 使 用 。 

除了 能 增强 程序 的 正确 性 外 ， 演 绎 式 程序 验证 还 入 生出 其 他 几 种 有 益 的 方法 。 其 中 之 一 是 
使 用 不 变 式 ， 就 是 使 用 需 在 代码 执行 中 始终 保持 正确 的 断言 。 不 变 式 能 用 来 检查 代码 在 不 同 的 
开发 阶段 的 一 致 性 。 它 们 作为 额外 的 运行 时 检查 机 制 被 插入 到 代码 中 ， 当 有 不 变 式 不 满足 时 ， 程 
序 就 会 中 断 并 给 出 警告 信息 。 

软件 可 靠 性 证 明 系统 的 另 一 个 用 处 是 为 不 同 的 编程 语言 结构 定义 语义 ， 人 们 能 通过 证 明 规 
则 来 理解 相对 应 的 结构 ， 例 如 一 个 while 循环 。 

因为 演绎 验证 通常 蝴 为 元 长 ， 因 此 在 实际 代码 上 并 不 经 常 使 用 。 但 它 能 用 在 基础 的 算法 或 
是 简化 了 的 代码 抽象 上 。 有 时 简化 、 抽 象 一 个 程序 的 过 程 也 能 被 形式 化 地 证 明 。 


7. 1 流程 图 程序 的 验证 

第 一 个 用 于 程序 验证 的 证 明 系 统 是 由 Floyd [45] 开发 的 。 该 系统 处 理 一 类 简单 的 由 流程 图 
表示 的 程序 。 这 些 程序 包括 简单 的 赋值 语句 和 判定 谓词 ， 其 中 赋值 语句 形 如 vw :=e，v 为 某 程序 
ER, e HEREA. RAA e 是 在 给 定 的 结构 和 签名 上 的 一 个 一 阶 项 。 判定 谓词 是 在 该 结构 上 
的 一 个 非 限 定 的 一 阶 公式 。 一 个 流程 图 有 四 类 节点 (参见 图 7. 1)， 

° 有 一 条 出 边 但 无 人 边 的 椭圆 代表 开始 Cegin 语句 。 

。 有 一 条 人 边 但 无 出 边 的 椭圆 代表 终止 (end) 语句 。 

° 有 一 条 或 多 条 人 边 和 一 条 出 边 的 平行 四 边 形 代表 赋值 (assignment) 语句 。 

` 有 一 条 或 多 条 入 边 和 两 条 分 别 标 记 着 真 〈true) AM Caso ÉQ H 35 0903838 f 3 pJ > 

(decision) 语句。 
图 7. 1 是 一 个 流程 图 程序 的 例子 。 


图 7.1 流程 图 中 的 节点 
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在 计算 科学 的 早期 ， 程 序 员 习 惯 于 在 编写 实际 代码 前 先 画 出 算法 的 流程 图 。 现 在 尽管 流程 
图 仍 在 使 用 ， 但 多 少 已 不 如 过 去 那么 普 浪 。 流 程 图 也 能 通过 编译 的 方式 从 编程 语言 中 自动 获取 。 
为 了 能 用 合理 的 可 视 化 形式 来 表示 流程 图 ， 同 时 又 尽量 减少 边 的 交叉 ， 可 以 使 用 特殊 的 图 布局 
算法 [50]. 
为 了 简化 标识 ， 假 设 程序 的 初始 值 储 存在 一 组 输入 变量 xz。 ，zx,，… 中 ， 且 这 些 变量 的 值 在 
程序 的 执行 过 程 中 不 发 生 改 变 。 因 此 ， 输 入 变量 不 会 出 现在 赋值 语句 的 左 侧 。 
我 们 对 每 一 个 程序 关联 一 个 称 为 初始 条 件 (〈initial condition) 的 一 阶 断 言 ， 该 断言 的 自由 变 
量 缘 为 输入 变量 。 初 始 条 件 规定 了 程序 在 每 次 执行 开始 时 赋 给 这 些 变量 的 值 。 
程序 的 一 个 状态 简单 地 说 就 是 程序 变量 的 一 组 赋值 。 我 们 说 过 ， 赋值 。( 一 个 状态 ) WEA 
式 p TEAM. 一 TRUE (这 里 未 提 及 结构 S， 假 设 S 可 由 上 下 文 获 得 )， 或 是 记 为 aF So, # 
序 的 执行 是 一 个 有 限 或 无 限 的 状态 序列 ， 其 中 第 一 个 状态 满足 初始 条 件 ， 其 余 每 个 后 继 状 态 5 都 
由 其 前 驱 状态 a 按 如 下 方式 获得 : 
° 若 “ 是 谓词 为 恕 的 判定 节点 人 边 上 的 状态 ，8 是 该 节点 标记 为 true 的 出 边 上 的 状态 ， 且 
a 片 sp RZ, M b Ej a 相同 。 

。 若 a 是 谓词 为 p 的 判定 节点 入 边 上 的 状态 ,5 是 该 节点 标记 为 false 的 出 边 上 的 状态 ， 且 
a 上 FS 一 访 成 立 ， 则 2 与 a 相同 。 | 

° 若是 赋值 " =e MHRA, 是 紧 跟 该 赋值 后 的 状态 ， 则 5 为 a[T,[ej/v]。 回 顾 3.3 
WH, Tile] 是 表达 式 。 根 据 状态 a 计算 而 得 的 值 ，a[4d/w] 是 除了 wv 值 被 设 为 d 外 其 余 都 
与 a 相同 的 一 个 赋值 。 因 此 ， 赋 值 之 后 的 状态 5 除了 w 的 值 以 外 其 余 都 与 a 相同 ,而 
的 值 是 表达 式 。 根据 之 前 的 状态 a 计算 而 得 的 值 。 

极 化 节点 《polarized node) 是 由 一 个 流程 图 节点 和 其 上 的 一 条 特别 选 定 的 出 边 组 合 而 成 。 因 
此 ， 任 意 的 赋值 语句 构成 一 个 极 化 节点 ， 因 为 它 仅 有 一 条 出 边 。 每 一 个 判定 节点 都 构成 两 个 极 化 
节点 : 一 个 出 边 标记 为 true 的 肯定 (positive) 判定 和 一 个 出 边 标 记 为 false 的 否定 Cnegative) 
判定 。 

程序 的 最 终 断 言 (final assertion) 一 个 一 阶 公式 。 若 程序 在 用 初始 条 件 初始 化 后 被 执行 ， 则 
每 次 执行 后 的 最 终 状态 都 应 满足 最 终 断 言 。 流 程 图 程序 的 一 个 位 置 (location) 是 连接 两 个 流程 
图 节点 的 一 条 边 。 初 始 条 件 关联 在 开始 节点 的 出 口 位 置 上 ， 而 最 终 断 言 关 联 在 终止 节点 的 人 口 
位 置 上 。 初始 条 件 和 最 终 断 言 不 过 是 众多 关联 在 流程 图 程序 位 置 上 的 断言 中 的 两 个 。 关联 在 流 
程 图 位 置 上 的 断言 也 称 为 不 变 式 ， 因为 当 程 序 的 控制 点 运行 到 不 变 式 关联 的 地 方 时 ， 这 些 断 言 
要 在 该 状态 下 始终 成 立 。 通常 意义 下 不 变 式 应 在 程序 的 执行 过 程 中 始终 成 立 。 关联 在 流程 图 位 
EX ERER p 在 以 下 情况 下 成 为 一 个 不 变 式 : 如 果 我 们 添加 一 个 仅 当 程序 运行 到 位 置 X 时 成 
立 的 命题 atz(X)， 则 aX p 在 程序 运行 阶段 始终 成 立 。 该 式 在 筷 以 外 的 程序 控制 点 依然 成 
立 ， 因 为 at(X) 为 FALSE， 因 此 整个 蕴含 式 为 TRUE, 

在 节点 人 边 上 的 不 变 式 称 为 该 节点 的 前 置 条 件 (precondition) , 而 在 节点 出 边 上 的 不 变 式 称 
为 该 节点 的 后 置 条 件 Cpostcondition) 。 注 意 每 个 判定 节点 有 两 个 后 置 条 件 ， 而 每 个 极 化 节点 仅 有 
一 个 。 同 一 个 不 变 式 既 可 是 一 个 节点 的 前 置 条 件 ， 又 可 是 另 一 个 节点 的 后 置 条 件 。 在 如 图 7. 2 所 
示 的 流程 图 程序 中 ， 关联 在 位 置 A 上 的 初始 条 件 是 z120 A z2>0. 关联 在 位 置 上 的 最 终 断 言 
是 (zl 二 yl X z2+y2) A y2220 A y2<22, 我 们 能 在 流程 图 的 位 置 ( 即 流程 图 的 边 ) 关联 额外 的 

言 ， 例 如 在 位 置 C， 我 们 能 关联 断言 (zl1=y1 x 224 22) 人 32 之 0。 事 实 上 为 了 获取 正确 性 的 
证 明 ， 我 们 会 在 每 一 个 流程 图 位 置 关联 这 样 一 个 断言 。 当 然 ， 在 一 个 位 置 上 关联 的 断言 并 不 立即 
就 成 为 不 变 式 。 我 们 仍然 需要 证 明 关 联 的 断言 是 不 变 式 ， 证 明 的 方法 我 们 很 快 就 会 介绍 。 
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图 7.2 整数 除法 的 流程 图 程序 


我 们 可 以 把 一 个 顺序 程序 P 看 做 是 输入 状态 和 输出 状态 间 的 关系 。 因 此 ，P(a,，65) 表示 P 
从 满足 a 的 状态 开始 执行 ， 在 终止 节点 上 终结 时 ， 停 留 在 满足 5 的 状态 上 。 为 简化 叙述 ， 我 们 假 
设 已 是 确定 的 。 因 此 ， 给 定 一 个 初始 状态 <， 已 要 么 不 终结 ， 要 么 终结 时 停留 在 唯一 个 最 终 状 态 
bk. 

程序 的 部 分 正确 性 (partial correctness) 是 一 个 三 元 组 的 断言 : 初始 条 件 p, BF P 和 最 终 ， 
断言 %， 通 常 记 为 {g} Ply) 。 该 断言 的 含义 是 车程 序 从 满足 p 的 状态 运行 ， 当 其 终结 于 终止 节点 
时 ， 最 终 状 态 满足 y。 形 式 化 地 ， 对 每 一 对 程序 状态 a, b, - 

# Pla, b) HakSe, BA bF Sg. 

该 形式 化 定义 十 分 微妙 。 透 过 仔细 的 观察 可 以 发 现 ， 即 便 程序 从 满足 初始 条 件 的 状态 运行 ， 
该 定义 也 不 保证 程序 的 终止 。 这 并 不 是 巧合 。 事 实证 明 ， 单 独 证 明 部 分 正确 性 比 同时 证 明 程 序 终 
止 更 为 简单 。 事 实 上 ,“ 部 分 正确 性 ”这 个 名 字 就 代表 了 它 并 不 能 给 出 程序 正确 性 的 完整 依据 。 
完全 正确 性 〈total correctness) 结合 了 部 分 正确 性 和 终止 性 ， 我 们 将 在 稍 后 对 其 做 介绍 。 部 分 正 
确 性 的 形式 化 定义 允许 从 满足 初始 条 件 p 的 状态 执行 的 程序 不 终止 。 I 

为 证 明 部 分 正确 性 ， 我 们 需要 表明 若 程序 从 满足 初始 条 件 的 状态 开始 执行 ， 当 它 执行 到 对 
应 流程 图 某 边 的 特定 位 置 时 ， 它 满足 那个 位 置 的 不 变 式 。 为 证 明 此 命题 我 们 需 证 明 注解 流程 图 
的 不 变 式 之 间 的 一 致 性 。 令 c 为 一 极 化 节点 ， 其 前 置 条 件 为 are(c)， 后 置 条 件 为 post(c)。 我 们 
需 证 明 如 下 命题 ， 

若 程序 的 控制 点 恰 在 c 之 前 ， 其 状态 满足 prel), 4 c 执行 后 控制 点 移 到 标注 有 
zosti(c) 的 边 上 ， 那 么 此 时 的 状态 满足 postCc), 

这 可 以 用 之 前 的 标识 (prec) }c( post(c)} 来 表示 。 对 极 化 的 流程 图 节点 而 言 有 三 类 一 致 性 
条 件 ， 

l. “是 肯定 判定 ， 换 言 之 ，pox(c) 是 在 取 谓词 p 为 true 的 出 边 后 的 后 置 条 件 ， 那 么 此 判定 
前 后 的 状态 保持 相同 。 所 以 ， 我 们 需要 证 明 若 pre(c) 在 该 状态 下 成 立 ， 且 判 定 谓词 的 解释 为 
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TRUE, BPA post ORY. Kk, RATUJE H AER 
(prelc) A b) — post(c) 

2.c 是 否定 判定 ， 换 言 之 ，post《c) 是 在 取 谓 词 p 为 false HHMI BARE. bit pm 

立 ， 其 余 与 前 述 情况 相同 ,我 们 必须 证 明 蕴 含 式 
Cpre(c) A 7p) — post (c) 

3.c 是 赋值 语句 wv :一 e。 此 情况 较 之 前 二 者 更 难 ， 因 为 赋值 前 后 的 状态 是 不 同 的 。 特 别 地 ， 
断言 preo M zostc) 不 是 就 相同 的 状态 进行 推论 。 因 此 首先 应 使 这 两 个 公式 推断 同一 状态 。 我 
们 可 以 相对 化 (relativizing) zost(c) 得 到 断言 relpost(c)， 使 之 推断 赋值 前 的 状态 。 (我 们 也 可 以 
相对 化 pre(c) 来 推断 赋值 后 的 状态 ， 但 这 会 带 来 更 复杂 的 一 阶 公 式 ， 其 过 程 涉及 添加 量化 ， 参 见 
[11].) 

当 c= 1w :二 er'， 我 们 定义 relpost(c) = post(c)[e/v]。 该 构造 一 开始 可 能 显得 有 点 儿 奇 怪 。 
它 规定 了 用 表达 式 e 代替 后 置 条 件 中 的 变量 wv 的 每 个 自由 出 现 。 车 说 赋值 以 正 向 的 方式 运作 ， 那 
么 该 替换 就 以 逆向 的 方式 运作 从 后 置 条 件 到 前 置 条 件 ! 

欲 了 解 为 何 该 方法 可 行 ， 考虑 两 组 变量 : 一 组 代表 了 在 赋值 前 状态 下 变量 的 值 ， 另 一 组 是 这 
组 变量 的 上 投 号 版 本 ， 代 表 了 人 恰 在 执行 赋值 后 的 状态 。 两 组 变量 的 关系 是 ， 对 每 个 不 同 于 > 的 变 
Eu, u 三 x， 其 余 v' 三 e。 注 意 。 仅 用 非 加 撤 号 的 变量 来 表达 ， 因 为 赋值 表达 式 使 用 的 是 基于 赋 
值 前 状态 的 值 。 

因此 relpost( 中 能 按 如 下 方式 得 到 ， 首先 ， 用 加 撤 号 的 变量 重 写 post), ARPS RAIS 
副本 替代 其 自由 出 现 。 我 们 现在 需要 写 代表 赋值 前 状态 的 公式 。 这 可 以 根据 上 文中 加 撤 号 与 非 加 
撤 号 变量 的 关系 ， 遂 过 消除 加 撤 号 变量 来 达到 。 就 是 说 ， 我 们 用 非 加 扳 号 的 版 本 来 替代 加 撤 号 的 
变量 ， 除 了 用 e Btu. KANT post(c)[Le/v]。 注 意 在 实际 的 替换 中 ， 首 先 将 变量 转换 成 它们 的 
加 撤 号 版 本 不 是 必需 的 ， 仅 需 用 。 BEAR o, 因为 加 撤 号 变量 仅 是 为 了 说 明道 向 蔡 换 而 引入 的 。 

在 部 分 正确 性 证 明 中 ， 我 们 需要 证 明 每 个 满足 tre(c) 的 状态 也 满足 relpost(c)。 如 果 它 满足 了 
?Yelzpost(c) ， 就 保证 了 执行 赋值 后 的 结果 状态 满足 post(c)., BA preCc)—rel poste), 可 被 表示 为 ， 
Pre (c) — post(c)Le/v] 

我 们 现在 说 ， 给 出 一 个 流程 图 程序 的 极 化 节点 ， 证 明 其 前 置 条 件 和 后 置 条 件 的 一 致 性 能 保 
证 程序 的 部 分 正确 性 。 事 实 上 ， 这 保证 了 一 个 更 强 的 属性 ，; 

每 次 执行 ， 若 其 开始 于 满足 程序 的 初始 条 件 的 状态 ， 当 程序 的 控制 点 在 某 位 置 时 ， 
那么 关联 在 该 位 置 的 条 件 成 立 。 

特别 地 ， 当 到 达 了 程序 终止 节点 的 入 边 时 ， 关 联 在 该 位 置 的 最 终 断 言 必须 成 立 。 上 述 属 性 的 
证 明 是 基于 在 始 于 满足 初始 条 件 状态 的 执行 序列 的 前 缀 长 度 上 的 简单 归纳 。 归纳 的 奠基 条 件 显 
然 成 立 。 归 纳 步 又 解释 如 下 。 假 设 该 前 级 以 某 位 置 的 状态 a 结尾 ，a 上 条 件 为 prelo). 然后 < 被 
执行 了 。 在 此 情况 下 ， 根 据 归 纳 假设 ，a 上 spre(c) 。 那 么 ， 上 文中 三 种 情况 规定 的 前 转 条 件 和 后 

” 置 条 件 的 对 应 关系 保证 了 若 < 被 执行 ， 则 我 们 到 达 了 满足 posl) 的 状态 ó, 状态 5 使 原 前 缀 的 
长 度 增加 一 ， 形 成 新 的 前 级 ， 其 中 每 个 状态 都 满足 流程 图 中 对 应 的 位 置 条 件 。 

图 7. 2 中 的 流程 图 程序 计算 了 自然 数 xl 除 以 x2 的 整数 除法 。 结果 在 计算 终结 时 存储 在 变量 yl 
H, RAFTE y2 中 。 初 始 条 件 是 z120 Az2>0, BAMA G1==y1X 22+ y2) A y2220 A y2<z2, 

找 出 证 明 所 需 的 不 变 式 可 能 是 一 项 艰巨 的 工作 。 有 多 种 启发 算法 和 工具 试图 发 现 不 变 式 
[75]。 然 而 ,根据 可 计算 性 理论 ， 我 们 知道 不 可 能 有 一 种 全 自动 的 发 现 不 变 式 的 方法 ， 换言之 ， 
该 问题 是 不 可 判定 的 。 寻 找 不 变 式 的 第 一 步 是 仔细 观察 程序 ， 研究 其 行为 ， 例 如 ， 可 模拟 一 些 执 
行 。 然 后 ， 我 们 可 以 试图 发 现在 每 个 位 置 的 不 同 程序 变量 间 的 关系 。 

这 个 过 程 通常 涉及 一 些 试验 和 错误 。 我 们 从 一 组 初步 的 位 置 不 变 式 出 发 ， 继而 尝试 验证 极 
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化 节点 的 前 置 条 件 和 后 置 条 件 间 的 一 致 性 条 件 。 假 设 < 是 一 个 肯定 判定 的 极 化 节点 ， 且 我 们 不 能 
证 明 prele) A p—bost(c) 。 之 所 以 这 样 是 因为 pre(c) 过 弱 ， 没 有 包含 在 进入 c 位 置 时 程序 变量 间 
的 足够 的 关联 信息 。 另 一 个 可 能 性 是 posi(c) 不 是 在 离开 < 位 置 时 的 正确 的 不 变 式 ， 当 程序 的 控 
制 点 在 该 位 置 时 ， 一 些 它 规定 的 关联 信息 不 成 立 。 


示例 ， 整数 除法 


该 程序 的 输入 是 非 负 整数 zl 和 正 整 数 x2。 程 序 是 整数 除法 z2 除 以 z1， 结 果 在 yl 中 ， 余 数 
在 y2 中 。 因 此 ， 初 始 条 件 是 x1 宇 0 人 x2 汪 >0。 最 终 断 言 是 (zl 三 y1 X x2 十 y2) A y2 之 0 人 y2<2z2, 
图 7. 2 中 的 位 置 用 字母 A~ 下 做 了 标记 。 我 们 首先 将 初始 条 件 归 于 位 置 4， 最 终 断 言 归于 位 
置 下 。 我 们 观察 到 如 下 事实 : 在 开始 时 ，?2 得 到 zl 的 值 。 在 主 循环 中 ， 只 要 y2 不 小 于 z2， 我 
们 就 从 y2 PRA xz2， 并 给 yl 加 1。 在 位 置 C， 我们 从 y2 PRA z2 的 次 数 是 yl 。 总 的 来 说 ， 我 
们 共 从 y2 PRAT 71LXz2。 如 果 将 此 乘积 加 上 ?2 中 剩余 的 值 ， 其 和 应 是 z1 的 初始 值 〈 也 是 月 
前 的 值 ) 。 也 就 是 说 ， 在 位 置 C， 我 们 有 z1=yx1X x2 十 y2。 进 一 步 地 ,很 容易 看 出 y2 之 0 在 此 处 
成 立 。 使 用 相似 的 方法 ， 我们 设 定 如 下 不 变 式 : 
GA) = zx1 Z 0 A z2 > 0 
oB) = zl SoA z22>0 A yl = 0 
gC) = (21 = yl X z2 + y2) A x2 SO 
2(D) = (21 = y] X 22+ y2) A y2 > x2 
gE) = (z1 = yl X z2 + y2 — z2) A y2— z2 > 0 
QF) = (z1 = yl X z2 + y2) A y2 > 0 A x2 < 22 
为 证 明 一 致 性 ， 我 们 需要 使 用 一 些 一 阶 逻辑 证 明 系 统 来 证 明 如 下 萤 含 式 ， 
oA) + e(B)[0/y1] = 
(ql = 0 A z2 > 0) —> (rl >0 A z2 >0 A0=0) 
(B) > e(O)[ z=1/y2] = 
(z120 A z2 > 0 A yl = 0) Cel = yl X 224+ azl) A xl > 0) 
(gC) A y2 Z z2) > gD) = 
(Cal = yl X r2 + y2) A 52 Z 0 A ye >Z z2) > Cal = yl X z2 + y2) A y2 Z zx2) 
(eC) A 7 y2 = z2) > (AF) = 
Kal = yl X 22+ y2) A ye > 0 AT y2 z2) 一 
(Cal = yl X 22+ y2) A y2 > 0 A x2 < 22) 
gD) — @(E)[y1 + 1/91] = 
(1 = yl X z2 + y2) A y2 = 2x2) > 
(Cal = (yl +1) X 12 + y2— 22) A y2—22 > 0) 
QE) — AOL y2 — x2/ y2] = 
(xl = yl X z2 + y2 — z2) A x2 — z2 > 0) > 
(C21 = yl X z2 + y2 — z2) A y2— z2 > 0) 


练习 7. 1. 1. 使 用 一 个 自动 化 的 定理 证 明 器 来 证 明 表 明 点 DAMEURE # C 之 间 一 致 性 
的 蕴含 式 。 I 
7.2 含 数组 变量 的 验证 

上 一 节 所 呈现 的 证 明 系 统 仅 处 理 某 域 D 上 的 简单 变量 。 当 人 允许 数组 变量 时 ,该 证 明 系 统 需 作 
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修改 。 本 节 为 高 级 内 容 ， 可 放心 跳 过 。 
7.2.1 含 数组 变量 赋值 的 问题 


为 了 解 所 涉及 的 问题 ， 考 虑 赋值 xLz[1j] :二 2。 它 将 值 2 R xzLzxL1]]， 其 中 索引 (index) 
ZX[1] 根据 赋值 前 的 状态 计算 而 得 。 然 而 ， 若 在 赋值 前 xL1j 二 1， 将 2 赋值 给 z[1] 就 会 有 副作用 
(因为 此 时 x[1] M lll] 是 同一 内 存 位 置 的 两 个 引用 )。 假 设 c 的 前 置 条 件 是 prelo) = a[l], 
BRE post(c)=2 la[1]]=2. WE 

(z[1]== 1 A zL2] = 3)z=[z[1]] += 2(z=[z[1]j = 2} (7.1) 
是 不 正确 的 。 它 表明 在 赋值 后 ， 我 们 有 x[LzxL1j]j 志 2。 然 而 ， 因 为 初始 时 z[1j 圭 1， 我 们 现在 有 
ZX[1J 夺 2， 所 以 <L=U1]Jj 现在 是 x[2]， 其 值 应 为 3 而 非 2。 
幼稚 地 应 用 上 一 节 中 的 证 明 系 统 允 许 按 如 下 方法 “证 明 ” 不 正确 的 断言 〈7. 1) 。 让 我 们 根据 
上 节 中 的 形式 化 方法 来 相对 化 tost(c) ， 使 其 对 应 赋值 前 的 状态 。 我 们 可 以 得 到 
relpost(c) = z[=z[1jJ = 2[2/=zl=zL1J] = 2 = 2 = true (7.2) 
现在 ， 使 用 式 (7.2) 我 们 得 到 pre(c)—>relpost(c) 是 z[1]=1—¿rue, HiF BSH F true, 
这 确立 了 式 (7. 1) 。 我 们 的 证 明 系 统 在 这 里 允许 我 们 证 明 不 正确 的 事实 ， 因 而 是 无 效 的 。 所 以 ， 
我 们 需要 改变 它 。 我 们 通过 改变 数组 赋值 的 相对 化 来 实现 。 


7.2.2 修改 证 明 系 统 


为 正确 处 理 数 组 变量 ， 我 们 需要 扩展 第 3 章 中 定义 的 一 阶 逻辑 。 语 法 实体 项 E 3. 2 节 中 定 
X) 也 将 包含 数组 元 素 的 引用 。 除 此 以 外 ， 一 类 新 的 项 会 被 引入 ， 它 的 行为 类 似 于 函数 式 编程 语 
言 中 的 if-then-else 结构 。 项 的 扩展 BNF EXE: 

term : := var | func(term,term,***,term) | const | 
if (form ,term term) | arr_var[term]| Carr_var term : term) 

结构 arr_var 是 指数 组 变量 的 名 称 。 我 们 假设 程序 中 使 用 的 数组 变量 集合 与 简单 变量 不 相 
交 。 我 们 不 允许 在 我 们 的 一 阶 逻辑 断言 中 量化 数组 变量 。 

赋值 语句 被 扩展 为 可 返回 数组 中 元 素 的 值 。 相 应 地 ， 如 果 z 是 一 个 数组 ，i 是 索引 (我们 这 
里 忽略 越界 索引 的 难题 ) a EWA, BAaKz, D) 给 出 了 域 了 中 的 一 个 值 。 解 释 函 数 T, RT 
展 为 如 下 形式 : 

T.[=[e]] = aCz,T,[e]>) 

T,[el] 如 果 M,[g] = TRUE 
T.Le2] 否则 

¿f 结构 没有 为 思 辑 添加 任何 表达 能 力 ， 因 为 它 是 可 以 被 消除 的 。 然 而 ,车 将 其 进行 分 配 可 
能 使 公式 大 小 有 相当 指数 级 ) 的 增长 。 考 虑 一 个 包含 有 if 结构 zif(p，el，e2) WANK Y BA 
式 可 被 转换 成 中 间 形 式 %， 其 子 公式 if (pg，el，e2) 被 替换 成 一 个 新 的 变量 v。 那 么 原始 公式 y 
等 价 于 


T, Lif (9,el,e2)] = 


(e A qel/v]) V He A Me2/v)) (7. 3) 
该 过 程 一 直 重 复 直到 所 有 的 if 结构 都 被 消除 (注意 if 子 公 式 的 多 个 相同 出 现 应 被 同时 消除 )。 
例如 ， 考 虑 公式 
xl > if (a2 > 3,24,if (x3 > z5,2,4)) (7. 4) 
根据 上 面 的 转换 ， 当 用 新 变量 "替换 式 〈7.4) 中 最 里 面 的 if 时 ， 我 们 得 到 如 下 的 公式 ; 
7= zl > if (12 > 3,24,0) ,9 = 23 > x5,e1 = 2,e2 = 4 
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根据 式 (7.3) 我 们 得 到 等 价 于 式 (7.40 的 如 下 公式 : 
(23 > x5) A (zl > if (22 > 3,24,2)) V 
(23 > 25) A (zl > if (22 > 3,24,4)) 
注意 得 到 的 公式 现在 包括 两 个 if 结构 ， 需 要 将 它们 消除 。 


练习 7.2.1 消除 上 述 公 式 中 的 所 有 if 结构 。 


本 节 中 项 的 扩展 定义 包含 另 一 个 结构 : 对 于 数组 变量 z， 让 Cz;el : e2) 成 为 的 变 体 (variant) , 
其 中 el 和 e2 是 表达 式 。 非 形式 化 地 ， 变 体 (zx;el ; e2) 和 <z 的 不 同 仅 在 于 它 的 el TRH 48 38 
成 2。 我 们 在 一 阶 公 式 中 使 用 变 体 来 代替 数组 变量 (注意 变 体 是 一 个 数组 ， 而 不 是 数组 元 素 ) 。 
其 形式 化 的 语义 如 下 : 

T.[e2] 如 果 T,[el] = T.Le3) 
TLCzsel: eD Le3]] = azy T, Le] 否则 

该 变 体 符号 也 可 使 用 如 下 转换 从 公式 中 消除 : 

(zjel : e2)[Le3] = if (el = e3,e2,2[ 3 ]) (7.5) 

为 了 获得 数组 赋值 的 正确 蔡 换 ， 用 加 撤 和 号 的 版 本 来 写 赋值 后 的 变量 ,然后 用 非 加 撤 号 的 变 
量 组 成 的 表达 式 来 代替 。 微 妙 之 处 在 于 我 们 需要 处 理 数组 变量 的 加 撤 号 和 非 加 撒 号 的 版 本 ， 而 
不 是 数组 元 素 的 加 撒 导 和 非 加 撤 号 的 版 本 。 数 组 变量 的 定义 可 帮助 我 们 建立 此 联系 。 

如 果 被 赋值 的 变量 是 简单 变量 ， 那 么 替换 方式 就 如 上 一 节 所 述 。 然 而 ， 如 果 被 赋值 变量 是 数 
组 变量 ， 那 么 它 必 须 被 其 变 体 奉 换 。 所 以 ， 如 果 赋 值 " 是 z[el] :一 <2， 那么 赋值 后 的 z 与 之 前 
的 《zx;el : e2) 相同 。 正 如 在 上 一 节 中 描述 的 简单 赋值 的 情况 ， 不 需要 首先 用 变量 的 加 撤 号 版 本 替 
. 代 变 量 ， 因 为 这 样 做 仅仅 是 为 了 解释 证 明 系 统 。 在 上 述 的 赋值 中 ， 可 以 直接 用 变 体 (x;el : e2) 来 
替代 <。 那么， 相对 化 的 替代 就 该 是 
f relpost(c) = post(c) (zx;el : e2)/z=] 

这 样 ， 所 有 变 体 的 实例 都 可 以 用 转换 规则 式 (7.5) 消除 。 
我 们 现在 再 来 看 < 是 zLz[JIJ]] :一 2，post(c) 王 x[xL1jj 寺 2 这 个 例子 。 相 对 化 的 后 署 条 件 
rel post(c) fz 
z[zÍ1J]J] = 2[(z=;=[1jJ : 2)/=] 
执行 z 的 变 体 替 换 ， 我 们 得 到 
(z;z[1]: DEl]: DL] = 2 
现在 ， 我 们 可 以 消除 变 体 符号 的 第 二 次 出 现 ， 并 按 上 文 说 的 用 一 个 让 结构 来 代替 。 我 们 得 到 : 


Cz]: 2 Cif Ccf1] =1,2,2f1]/)] = 2 (7. 6) 
消除 剩 下 的 变 体 出 现 ， 我 们 有 
if (xL1 = ¿f(z=L1] = 1,2,2[1]) 2, 2(if C21] = 1,2,z=[1J)]) = 2 (7.7) 


我 们 对 if 结构 的 相同 的 两 次 出 现 加 了 下 划 线 。 所 以 ， 我们 能 够 同时 消除 它们 。 用 v 代替 下 划 线 
部 分 ， 我 们 得 到 wm 二 if (zx[1] 三 v，2，zxLvj]) 圭 2，g 二 x[1j 寺 1，el 二 2，e2 王 zx[11。 那 么 ， 根据 式 
(7.3) 中 的 转换 方法 ， 我 们 得 到 C21 J=1Aif(cl1]=2, 2, z[2]=2) V Cal IFLA šf(z=L1 J== 
zli], 2, +zL=[1]JJ]J)=2), 

我 们 可 以 做 一 些 逻辑 简化 。 首 先 ¿f(Cz[1]==z[1], 2, z=L=[1]))=2, #H-#M, SH [01] = 
1, 我 们 有 if(zxL1j 寺 2，2，zx[2j]) 夺 xL2]。 所 以 ,我 们 得 到 简化 了 的 公式 

(z=[1] = 1 A z[2] = 2) V (z=[1] Z 1) (7.8) 
通过 对 式 (7.8) 应 用 逻辑 等 价 ， 我们 最 终 得 到 
relpost(c) = z[1] = 1 — [2] = 2 








14 ， 第 7 章 演绎 式 软件 验证 


显然 ， 上 述 为 得 到 相对 化 的 后 置 条 件 的 逻辑 操作 相当 困难 ， 而 且 难 以 理解 。 自 动 化 的 定理 证 
明 器 可 以 帮助 实施 或 是 检查 这 些 操作 的 正确 性 。 


7.3 完全 正确 性 


程序 的 完全 正确 性 ， 记 为 《gp) PLy)， 规 定 如 果 程 序 已 从 满足 初始 条 件 o 的 状态 开始 执行 ， 
那么 它 终止 于 满足 公式 yy 的 状态 。 形 式 化 地 ， 对 每 一 对 程序 状态 a, b, 
如 果 a 上 帮 Sp， 那么 存在 状态 5 使 得 Pla, b) HOE SY. 
(该 定义 是 基于 流程 图 程序 是 确定 的 这 一 事实 .) 可 以 通过 分 别 证 明 部 分 正确 性 和 终止 性 来 证 明 
完全 正确 性 〈 尽 管 我 们 稍 后 会 阐述 如 何 直接 证 明 完 全 正确 性 )。 通 常 ， 部 分 正确 性 成 立 的 理由 和 
终止 性 成 立 的 理由 会 不 同 。 所 以 ， 分 开 证 明 的 方法 ， 尽 管 不 是 必需 的 ， 但 可 能 会 有 助 于 简化 证 
明 。 终 止 性 (再 次 说 明 是 针对 确定 的 程序 ) 形式 化 的 定义 为 ， 
如 果 aF 上 Sp， 那么 有 状态 5 使 得 P (a, b), 
在 7.1 节 中 介绍 了 一 种 使 用 在 执行 的 有 限 前 级 上 做 简单 归纳 的 方法 来 证 明 部 分 正确 性 。 该 归 
纳 阐明 了 如 果 相 邻 的 前 置 条 件 和 后 置 条 件 的 一 致 性 得 到 了 证 明 ， 那 么 每 一 个 始 于 满足 初始 条 件 
状态 的 程序 执行 中 的 状态 都 满足 关联 在 某 程序 位 置 上 的 不 变 式 。 特 别 地 ， 如 果 程 序 终止 ， 那 么 最 
后 的 状态 必须 满足 关联 在 进入 终止 节点 上 的 不 变 式 ， 该 不 变 式 恰好 就 是 程序 的 最 终 断 言 。 
这 种 归纳 推理 不 足以 证 明 终 止 性 ， 因 为 它 处 理 的 是 任意 长 度 的 有 限 前 缀 。 我 们 需要 的 是 一 
个 归纳 原理 ， 能 考虑 无 限 执行 的 可 能 性 并 能 将 其 排除 在 外 。 因 此 我 们 在 终止 性 证 明 中 将 使 用 另 
一 种 推理 原则 ， 该 原则 涉及 良 基 域 的 概念 。 
一 个 偏 序 域 (partially ordered domain) 是 一 个 二 元 对 (W, >), EFW 是 集合 , “> ”是 
W 上 的 偏 序 关 系 。 回 忆 一 下 ， 对 于 一 个 偏 序 关 系 “>”， 如 下 条 件 必 须 成 立 : 
反 自 反 性 。 没 有 wuEW 使 得 4>w 成立。 
不 对 称 性 。 对 每 个 ww，vEW， 如 果 w>v， 那 么 v>w 不成立 (我 们 也 写作 v Au). 
传递 性 。 如 果 对 某 u，v，wEW, u>v 且 v>w， 那么 u>w. 
4 u> RE =v AREA uzvu., 4 xz 六 时， 我 们 也 写作 o<u, KM, u>vMv<u 
是 一 样 的 。 
偏 序 域 的 例子 有 : 
。 整数 集合 和 通常 意义 下 的 “大 于 ”关系 “>”。 
。 整数 的 有 限 集 合 的 集合 和 集合 包含 关系 “局 ”。 
。 某 有 限 字母 表 上 的 字符 串 集合 ， 当 w 是 的 子 字符 串 有 wu>>w， 即 有 字符 串 w Av, 0 
u= u. xu. Vr o 

. 某 有 限 字母 表 (如 拉丁 字母 表 ) 上 的 字符 串 和 字典 序 〈 即 词 在 字典 中 出 现 的 顺序 ) 。 
自然 数 的 元 组 〈 如 二 元 组 或 三 元 组 ) 和 元 组 间 的 字母 序 。 和 词典 中 的 字母 序 类 似 ， 元 组 
间 的 字母 序 给 出 了 两 个 第 一 分 量 元 素 间 的 优先 关系 。 如 果 它 们 不 同 ， 元 组 就 按 这 些 元 素 
的 关系 排序 。 如 果 这 些 元 素 相 同 ， 优 先 级 就 依据 第 二 分 量 ， 以 此 类 推 。 例 如 对 二 元 对 ， 
MR uu Rum =v, H u >v, Wa. w)> Cy, u), 

RAM (well founded domain) 是 不 包含 无 限 递 减 序列 的 偏 序 域 ， 换 言 之 ,不 存在 形 如 w> 
tw > 之 w,>>… 的 序列 。 上 文 例子 中 第 一 个 偏 序 域 不 是 良 基 的 。 这 是 因为 对 于 整数 和 通常 意义 
的 “大 于 ”关系 ， 有 一 个 无 限 的 递减 序列 ， 如 0> 一 1 这 一 2 盖 …。 如 果 用 自然 数 代替 整数 ， 我 们 就 
获得 了 一 个 和 良 基 域 。 按 字母 序 排 序 的 字符 串 也 不 是 良 基 的 ， 例 如 考虑 无 限 序 列 ababab, 
上 文中 其 余 的 偏 序 域 都 是 良 基 的 。 

我 们 需要 按 以 下 步骤 证 明 终 止 性 。 
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。 选择 一 个 良 基 域 (WW，>)。 要 求 WSD,， 且 关系 > 必须 是 用 程序 签名 可 表达 的 。 
。 为 流程 图 的 每 一 个 位 置 添加 一 个 公式 (不 变 式 ) 和 一 个 表达 式 。 添 加 在 开始 节点 出 边 上 
的 公式 是 初始 条 件 。( 同 时 证 明 终止 性 和 部 分 正确 性 是 可 能 的 ， 可 通过 在 终止 节点 的 入 边 
上 关联 最 终 断 言 来 实现 .) 在 任意 的 程序 执行 中 ， 当 程序 的 控制 点 在 关联 有 表达 式 e 的 某 
位 置 上 ， 着 此 时 状态 为 a， 则 将 Tice) 与 该 状态 相关 联 。 
` 仿照 部 分 正确 性 的 证 明 ， 证 明 每 个 极 化 节点 的 前 置 条 件 和 后 置 条 件 间 的 一 致 性 。 
*。 证 明 执 行 中 和 每 个 状态 关联 的 值 满足 如 下 条 件 ， i 
一 和 一 个 流程 图 位 置 关联 的 表达 式 e 根 据 执行 中 的 某 个 状态 〈 当 程序 计数 在 该 位 置 时 ) 
计算 表达 式 值 ， 其 结果 应 在 W 集合 中 。 

一 在 程序 的 每 次 执行 中 ， 当 程序 从 一 个 位 置 运行 到 它 的 后 继 位 置 时 ， 关 联 的 表达 式 的 值 
不 增加 。 

一 在 程序 的 每 次 执行 中 ， 在 遍历 流程 图 的 圈 〈 循 环 ) 的 过 程 中 ， 存 在 某 个 点 使 得 关联 的 
表达 式 从 一 个 位 置 到 它 的 后 继 位 置 时 其 表达 式 值 会 减少 。 

< “为 某 个 极 化 节点 ，zpreCc) 和 postCc) 分 别 是 它 的 前 置 条 件 和 后 置 条 件 ，e, 和 e DHE 

关联 在 人 边 和 出 边 上 的 表达 式 。 我 们 现在 将 形式 化 需要 证 明 的 条 件 。 

首先 ， 前 置 条 件 和 后 置 条 件 间 的 一 致 性 条 件 和 部 分 正确 性 的 证 明 是 一 样 的 。 有 三 种 情况 ， 

` 肯定 判定 p。 那 么 


(prelc) A P) — ost (c) (7. 9) 

。 否定 判定 p。 那 么 
(prele) A ap) — post Ce) (7.10) 

。 赋值 " :一 <e。 那 么 
pre(c) — post(c)[e/v] (7,11) 


这 就 使 得 每 次 执行 到 某 个 特定 的 位 置 时 ， 关 联 在 该 位 置 上 的 不 变 式 成 立 。 
为 证 明 关 联 在 一 个 位 置 上 的 表达 式 。 的 值 是 在 集合 W 中 ， 我 们 需要 证 明 
o> (e € W) (7.12) 

回忆 一 下 ，eE€ W 通常 不 是 一 阶 逻 辑 公 式 。 然 而 ， 在 这 里 ， 根 据 被 验证 的 程序 ， 它 通常 能 被 
转换 成 一 阶 项 。 例 如 ， 当 程序 域 是 整数 时 ， 可 能 出 现 良 基 域 是 自然 数 和 通常 音义 的 “>>” 关 系 的 
情况 。 这 时 式 (7.12) 就 变 成 了 pg>(e 宕 0)。 

对 每 个 满足 ae Spred 的 状态 a 和 满足 DES post(c) 的 后 继 状 态 5， 为 证 明 T, e) >T, le), 
需要 相对 化 表达 式 e, 和 e, 中 的 一 个 ， 以 使 得 两 者 器 针对 同一 状态 。 我 们 选择 相对 化 e 来 得 到 
rel(es)。 和 7.1 节 中 一 样 ， 我 们 能 使 用 一 组 加 撤 号 的 变量 来 表示 执行 c 后 的 程序 变量 的 什 ， 之 后 
根据 〈 极 化 ) 节点 < 的 类 型 我 们 用 非 加 撤 号 的 变量 组 成 的 表达 式 代替 加 撤 号 的 变量 。 

” 就 肯定 或 否定 判定 c 而 言 ， 对 每 个 程序 变量 u RIA =u. B rel (6,) 二 6,， 

° 就 赋值 v :一 e 而 言 ， 对 每 个 ut RNA =u, UR vw =e, 因此 结果 为 rel Ce.) = 

e,Le/v], 

为 证 明 在 执行 极 化 节点 c 的 过 程 中 关联 在 各 位 置 上 的 表达 式 e 的 值 没 有 增加 ， 需 要 证 明理 含 式 

bre(c) — (e, > rel.(e,)) (7.13) 

为 证 明 沿 着 流程 图 中 的 圈 。 的 值 会 减 小 ， 需 要 证 明 至 少 存在 一 个 极 化 节点 “使 得 

prele) 一 (el > rel.Ce,)) (7.14) 

现在 我 们 可 以 论证 程序 必须 终止 。 证 明 是 基于 矛盾 论证 。 假 设 对 程序 P z: (7.9) ~ 
(7.14) BREW, H 了 不 终止 。 考 虑 关联 在 P 的 某 个 非 终 止 的 执行 上 的 值 的 序列 。 因 为 域 
(W, >) 是 良 基 的 ， 所 以 不 可 能 形成 一 个 无 限 递减 的 序列 。 同时 因为 它 是 由 式 (7. 13) 构建 的 
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一 个 非 递减 的 序列 ， 所 以 必然 在 某 点 该 序列 会 达到 一 个 常量 值 。 考 虑 从 该 点 开始 的 关联 值 保 持 
为 常量 的 执行 后 缀 。 因 为 程序 只 有 有 限 多 个 位 置 ， 该 后 缀 不 可 能 经 过 无 限 多 个 节点 ， 所 以 它 必 然 
AMET. 。 但 是 根据 式 〈7. 14) ， 关 联 的 值 必 然 存在 减 小 的 情况 ， 这 就 有 了 和 矛盾 。 
我 们 现在 将 证 明 图 7. 2 中 的 流程 图 程序 的 终止 性 。 我 们 选择 良 基 域 (Nat, >), BRR 
和 通常 的 排序 关系 。 位 置 A 到 下 的 不 变 式 和 表达 式 的 标注 如 下 : 
@A) = al SPdAazc2>0 eA) = z1 
p(B)= rl Z0 A zr2>0 eB = zl 
gC) = 22 > 0 A y2>0 e(C) = y2 
gD) = 22 >0 A y2 S22 e(D) = y2 
, pE) = 22 >0A yp S22 eE) = y2 
oF) = y2 > 0 e(F) = y2 
为 证 明 表 达 式 返回 了 良 基 域 中 的 值 ， 我 们 立刻 就 有 
g(A) > z1 € Nat p(B) > z1 € Nat 
gO) —> y2 € Nat g(D) — y2 € Nat 
e(E) — y2 € Nat g(F) 一 22 € Nat 
为 证 明 一 致 性 ， 我 们 需要 证 明 以 下 蕴含 式 ; 
(A) 一 9 B)L0/y1] = 
(x1 20 A z2 >0) — (z<1á&2 0 A x2 > 0) 
p(B) > e(C)[z1/y21] = 
Cal 20 A z2> 0) > (22 > 0 A xl > 0) 
(pCO) A y2 Z z2) > oD) = 
(z22> 0 A y2 > 0 A x2 > 22) — (z2 > 0 A y2 > x2) 
CCC) A 7 y2 => 22) > eC F) = 
(22 > 0 A y2 Z 0 Any Z x2) + y2 > 0 
gD) 一 e(E)[y1 + 1/y1] = 
(22 > 0 À y2 S22) — (22 > 0 A y2 > 22) 
GE) > oO) y2 — z2/y2 ] = 
(22 > 0 A y2 S22) — (22 > 0 A x2 — z2 > 0) 
为 证 明 两 个 相继 位 置 上 关联 的 值 没 有 增加 ， 且 程序 控制 点 在 循环 C>D>E>C 上 从 下 移动 
BIC 时 关联 值 有 一 个 适当 的 减少 ， 我 们 有 ， 
2(4) — elA) > e(B)[0/y1] = 
(zl 之 0 A z2 > 02 — z1 zl 
p(B) > e(B) > e(O)[z1/y2] = 
(2120 A z2 > 0) — z1 > zl 
PO A x2 Z x2) + e(C) > e(D) = 
(z2> 0 A x2 > 0 A x2 > z2) — y2 > y2 
(eC) A 7 y2 > z2) + e(O > eF) = 
(z222> 0 Ax2> 0 A my2 > z2) — y2 > y2 
gD) — e(D) > e(E)[(y1 + 1)/y1] = 
(z22> 0 A y2 Z= z2) — y2 > y2 
pE) — e(E) > e(C)[(>x2 — z2)/y2] = 
(z222> 0 A y2 22 A z2 > 0) > y2 > y2— z2 
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7.4 公理 式 程序 验证 
验证 流程 图 程序 有 个 缺点 ， 必 须 首 先 将 程序 从 文本 代码 转换 成 流程 图 。 现 在 流程 图 用 的 已 
经 不 多 了 ， 或 许 是 因为 它 难以 用 在 大 型 程序 上 。Hoare [63] 开发 了 一 个 证 明 系 统 ， 同 时 包括 逻 
辑 和 代码 片段 。 该 证 明 系统 允许 我 们 直接 验证 程序 代码 。 而 且 ， 它 促进 了 组 合 验证 ， 允许 我 们 分 
别 证 明 程 序 中 不 同 的 顺序 部 分 ， 稍 后 再 将 证 明 组 合 在 一 起 。 
该 逻辑 构建 筑 在 某 些 一 阶 演绎 系统 之 上 。 除 了 一 阶 断言 外 ， 该 逻辑 允许 (Sig) 形式 的 断 
言 ， 其 中 S 是 程序 的 一 个 部 分 ，p 和 y 是 一 阶 公 式 。 这 些 断 言 被 称 做 Hoare 三 元 组 。 所 使 用 的 程 
序 〈《 和 程序 片段 ) 的 语法 用 BNF 给 出 ， 
S::= o:= elskip|S;S| 
if b then S else S fi|while p do S 
其 中 ”是 变量 ，e 是 一 阶 表达 式 ，p 是 非 量化 的 一 阶 断言 。Hoare 三 元 组 (p) S{y} 的 含义 如 下 ， 
如 果 S 的 执行 始 于 满足 p 的 状态 ， 且 从 该 状态 起 S 能 够 终止 ,那么 它 能 到 达 满 足 y 的 状态 。 显 
然 ， 如 果 S 是 整个 程序 ， 那么 {yp} Sy} 就 是 其 部 分 正确 性 的 声明 ， 它 的 初始 条 件 为 p REK 
BA ge 
注意 允许 的 程序 不 包含 任何 goto 语句 。 因 此 ， 使 用 上 述 语 法 形成 的 程序 S 的 任何 部 分 都 仅 
能 从 S 的 开头 开始 执行 ， 如 果 其 能 终止 ， 则 结束 于 S 的 结尾 。 该 假设 对 下 面 证 明 规 则 的 公式 化 
至 关 重 要 。Hoare 逻辑 对 goto 语句 的 处 理 参 见 [12], Hoare 人 逻辑 的 公理 和 证 明 规 则 在 下 面 给 出 。 


7.4.1 赋值 公理 


该 公理 使 人 想起 7. 1 节 中 Floyd 证 明 系 统 下 证 明 赋值 的 前 置 条 件 和 后 置 条 件 一 致 性 的 方法 。 
它 取 描述 赋值 v =e 执行 后 的 状态 的 后 置 条 件 p， 然 后 转换 成 用 赋值 前 的 变量 描述 的 对 应 的 前 置 
条 件 。 
{pLe/v]}v := elp} 
如 果 涉 及 数组 变量 ,那么 需要 采取 与 7. 2 节 中 讨论 的 内 容 的 相同 的 方法 。 


7.4.2 SBAA 


{p} Kip (o) 
执行 一 个 空 语句 指令 不 改变 任何 程序 变量 的 值 。 这 反映 在 公理 中 ， 该 公理 取 相 同 的 公式 作 
为 前 置 条 件 和 后 置 条 件 。 


7.4.3 左 强化 规则 


该 规则 用 于 加 强 前 置 条 件 ， 即 {g') S{y} 已 被 证 明 ， 想 要 将 前 置 条 件 强化 为 g (回忆 一 

Fo RRR oo’). 
eo sig }S{y} ` 
{oh Sp} 

为 证 明 该 规则 ， 考 虑 任意 满足 ç 的 状态 。 然 后 根据 蕴含 式 ， ERE pg 。 但 是 根据 
{ep} Sig}, MR S 始 于 该 状态 并 且 会 终止 ， 那 么 yy 在 它 完成 时 成 立 。 因此 {9g}S{y)，。 

本 规则 经 常 和 赋值 公理 一 起 使 用 。 如 果 我 们 想 要 证 明 (plv :一 e{ 分 ， 我 们 通常 首先 获得 弱 
F p 的 前 置 条 件 g[e/v]， 然 后 使 用 左 强化 规则 证 明 pyLe/v] 来 强化 前 置 条 件 。 回 忆 一 下 ,在 
Floyd 证 明 系 统 中 这 两 个 证 明 步骤 是 同时 执行 的 。 l 

衍生 证 明 规 则 (derived proof rule) 经 常 被 加 入 到 Hoare 证 明 系统 中 。 这 些 额 外 的 证 明 规 则 
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将 几 个 另外 的 证 明 规 则 和 公理 合并 成 一 条 规则 ， 使 更 简单 〈 更 短 ) 的 证 明成 为 可 能 。 例 如 ， 可 以 
合并 赋值 公理 和 左 强 化 规则 ， 得 到 如 下 衍生 规则 : 


g> gle/v], {gle/vj}v i= ely} 
{olv :一 e{ p} 





7.4.4 右 弱化 规则 


本 规则 用 于 弱化 后 置 条 件 ， 即 (p) S{y} 已 被 证 明 ， 我 们 想 要 将 后 置 条 件 弱化 为 ¿CEI 
一 下 ， 这 意味 着 少 一 和 内。 因为 {pg}S{y)}， 如 果 S 始 于 满足 % 的 状态 且 会 终止 ， 那么 它 完成 时 ç 
成 立 。 但 根据 蕴含 式 ， 任 何 满足 y 的 状态 也 满足 y。 因 此 (Sip. 


(g)S(2') y — 2 
{go} Sip) 


注意 在 Hoare 证 明 系 统 中 ， 可 以 强化 前 置 条 件 和 弱化 后 置 条 件 。 
7.4.5 顺序 组 合 规则 


本 规则 人 允许 我 们 对 顺序 组 合 证 明 部 分 正确 性 ， 即 在 分 别 对 组 件 S, AS, 证 明 部 分 正确 性 后 得 
到 {gp}Si;S;{y}。 这 通过 使 用 一 个 同时 为 S. 的 后 置 条 件 和 S, 的 前 置 条 件 的 断言 ?来 达到 。 


toS {a} (7) S, (g) 
{9} Si 35.1} 


通过 首先 分 别 验证 代码 的 组 件 来 验证 代码 是 一 项 有 用 的 策略 ， 称 为 组 合 性 Ccompositionali- 
ty) 。 这 是 针对 顺序 组 合 规则 的 情况 ， 因 为 S ALS, 的 证 明 是 分 别 进行 的 ， 然 后 对 S, ; S, 的 证 明 再 
由 这 些 证 明 合并 而 得 。 

BRS, 的 后 置 条 件 和 S, 的 前 署 条 件 不 相同 ， 例 如 ， (@)S (0) 和 (me) Si (2) 都 已 被 证 明 。 
当 pp 时 仍然 可 以 证 明 {gp} Si 35, {9}. 实现 的 方法 可 以 是 使 用 右 弱 化 规则 来 弱化 S, 的 后 置 条 
件 ， 使 其 从 六 弱化 为 %， 或 是 用 左 强化 规则 来 强化 S, 的 前 置 条 件 ， 使 其 从 从 p 强化 为 ne MH 
也 可 以 导出 一 条 额外 的 证 明 规 则 ， 它 的 作用 是 ， 


{po} Si (为 ) ,从 > psim) S2{y} 
{@}S, S: {g} 








7.4.6 if-then-else 规则 


为 证 明 {olif p then S, else S, filo), RIE BARRA : 

° PRX. Al S, 执行 前 pA 人 zp 成 立 ， 这 可 被 用 作 一 个 前 置 条 件 。 

° PRB. Akt S, 执行 前 pA 一 成 立 ， 这 可 被 用 作 一 个 前 置 条 件 。 
该 规则 的 前 提 是 当 if-then-else 结构 结束 时 y 在 两 种 情况 下 都 成 立 。 


{9 A DIS, ig} s{o A THS {gp} 


{olif p then S, else S, fiip) 


7.4.7 while 规则 


while 规则 使 用 一 个 不 变 式 ç, 该 不 变 式 需 要 在 循环 执行 前 以 及 每 次 选 代 末尾 都 成 立 。 在 执 
行 任何 循环 体 的 选 代 前 ， 我 们 也 知道 循环 条 件 p 成 立 ， 因为 否则 我 们 会 是 退出 循环 而 不 是 再 次 
执行 循环 体 ， 因此， 我 们 用 pA p 作为 循环 体 S 的 前 置 条 件 。 我 们 通过 证 明 ç 在 每 次 循环 体 执行 
后 《从 任意 满足 pA p 的 语句 开始 ;都 成 立 来 证 明 它 是 不 变 式 。 所 以 ， 当 循 环 结束 时 ，p 也 必须 
成 立 。 进 一 步 地 ， 我 们 也 知道 结束 时 循环 条 件 p 不 成 立 ， 因而 循环 的 后 置 条 件 是 eA p. 
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ig A p)Sig} 
{g}while p do S end{e A` p} 





7.4.8 begin-end 规则 
本 证 明 规 则 反映 了 一 个 事实 begin 和 end 语句 的 行为 就 像 算术 中 的 括号 一 样 将 各 结构 结合 


在 一 起 ， 且 没有 副作用 。 
gh Sig} 
{gp} begin S end {yp} 


练习 7.4.1 考虑 下 面 的 Hoare 风格 的 证 明 规 则 。 它 们 中 有 些 是 不 正确 的 ， 可 用 于 证 明 程 序 
不 正确 的 属性 。 找 出 下 面 不 正确 的 证 明 规 则 并 给 出 理由 。 


{g} Sig} eo — e 
{go} S{ p} 


{9}S, {false} 
lp) Sı ; S; tgp? 


(eA pS} (e APIS ph) 
tp Sla V p? 
loSi o} 
{o}uhile p do S end (ç A xp) 
(e Sigo} 
{g}while p do S end {o} 


{gA PISig}s (e A 7p >e 
{go} while b do S end (25 











7.4.9 示例 : 整数 除法 
下 面 的 程序 计算 zl 除 以 z2 的 整数 除法 。 这 是 7. 1 节 中 验证 的 程序 的 文本 版 本 ， 


yl :一 0; 、 
ye :=zx1; 
while y22>= 22 do 
ylt=y1+1; 
32 = y2— z2; 
end 
首先 ， 我 们 用 断言 注解 程序 ， 使 得 每 个 语句 都 有 一 个 前 置 条 件 和 后 置 条 件 。 这 些 条 件 描述 了 
程序 中 每 个 控制 位 置 上 变量 之 间 的 关系 。 正 如 意料 之 中 的 ， 这 些 断 言 和 我 们 用 于 验证 图 7. 2 中 流 
程 图 程序 部 分 正确 性 的 断言 是 一 样 的 。 
{2120 A 22>0} 
y1 :一 0; 
{120A 2z2>0A yl=0} 
y2it=al; 
{zl 二 yl Xz2+y2 A y22>0) 
while y2 之 x1 do 
{zl 三 yl X x2 y2 A y2>>22} 
yl:=y1+1; 
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{zl 圭 yl X zx2 十 y2 一 x2 A y2 — 1220} 
y2 :一 y2 一 Z2 
{zl=syl1XZz2 十 y2 A y220} 

end 

{zl 二 yl] X z2+ y2 A y20 A y2<22} 

S S 代表 开始 两 个 赋值 语句 ， 即 yl :一 0; x2:=<x1, S, 代表 while HM, Bl while y22>z2 
doyli=yl+1; y2 :二 y2 一 x2; end, S, 代表 循环 S, 内 的 两 个 赋值 语句 ， 即 yl := yl 十 1; 
y2 :一 y2 一 Z2。 . f 

根据 如 图 7.3 所 示 的 证 明 树 ， 证 明 将 由 后 向 推理 完成 。 从 一 个 节点 到 它 的 直接 后 继 的 边 表 
示 该 节点 使 用 后 继 节 点 中 证 明 葛 结果 作为 它 的 前 据 。 我 们 在 这 里 不 说 明 自 然 数 上 的 一 阶 逻 辑 草 
含 式 的 证 明 有 多 简单 。 我 们 假设 它们 已 用 某 些 恰当 的 一 阶 证 明 系 统 证 明了 。 我 们 将 列 出 系统 中 
出 现 的 不 同 的 待 证 明 的 目标 。 我 们 给 每 个 目标 一 个 数字 ， 后 面 跟 着 用 到 的 证 明 规 则 或 公理 的 
BF. 








8 
ean | | we | 
4 6 9 
wait wi 左 强化 


10 
赋值 


图 7.3 证 明 树 














目标 1. 顺序 组 合 
(z1> 0 A z2 > 0)S,(z1 = yl X z2 + y2 A y2 > 0) 
{zl = yl X z2+ y2 A y2 > 0)S, 


{zl = yl X z2 + y2 A z2 > y2 A 52 > 0 A 52 < 22} 
(z12 0 A z2 > 0) S, ; S; 


izl = yl X z2+ y2 A z2 > y2 A x2 > 0 A x2 < 22} 
自 标 2. 顺序 组 合 
{21 >0 A 22> 0}yl := 0{z1>0 A 22 >0 A yl == 0) 


{z41>0 A z=22> 0 A yl = 0)x2 t= z1(z] = y1 X z=2 + y2 A y2 > 0) 
(z1— 0 A z2 > 0)S, {zl = yl X z2 + y2 A y2 > 0) 





目标 3. 左 强化 
Cal S0 A z2>0) > (rl > 0 A z2>0 A 0 = 0) 


{zl 20 A 22 >0 A0 =0}yl = 0r S0 A 22>0 A yl =0} 
{21 > 0 A z2> 0)y1:= 0(z1 2 0 A z2 > 0 A yl =0) 
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目标 4. 赋值 
{71 SOA 2x2>0A 00} yl t= O{zl1 S20 A xz2>0A yl = 0) 


目标 5. 左 强化 
(rl SoA z=2 > 0 A yl = 0) — (zl = yl X z2 + z1 A zl > 0) 
{al = yl X z2 + z1 A xl > 0)x2 := z1(z1 = yl X z2 + y2 A x2 Z: 0) 
(z£1220 A z=2 > 0 A yl =O} 92 := +z1íz1 = yl X z2 + y2 A y2 > 0) 
目标 6. 赋值 
{zl = yl X =2+ z1 A zl SO} 92 t= z1(z1 = yl X z2 + y2 A y2 SO} 
目标 7. while 
{zl = yl Xa2+ y2 A y2 > 0 A x2 > x2) S, (z=1 = yl X z2 + y2 A x2 > 0) 
{x1 = yl X r2 + y2 A y2 > 0)S,(z1 = yl X z2 + y2 A y2 > 0 A x2 < x2} 
注意 我 们 发 现 这 里 当 y2<z2 时 一 y2 之 zx2。 | 
目标 8. 顺序 组 合 
{zl = yl X 22+ y2 A x2 Z z2)y1 t= yl +1 
{xl = yl X x24 y2 — z2 A y2— z2 > 0} 
{rl = yl X r2 + y2—22 À y2— z2 D0} y2 t= y2 — 22 
{71 = yl X 22+ y2 A y2 > 0) 
{al = yl X z2 + y2 A y2 Z= z2)S, {21 = yl X z2 + y2 A y2 > 0) 
目标 9. 左 强化 
(rl = yl X z2 + y2 A y2 > z2) 一 
(Xl = (yl +) X z2 + y2 — z2 A y2— z2 > 0) 
{zl = (yl + 1) X 224+ y2— x2 A y2—22 > 0)y1 t= yl 十 1 


{zl = yl X z2 + y2 — z2 A x2 — z2 > 0) 
{al = yl X z2 + y2 A y2 > z2)y1 t= yl 十 1 


{x1 = yl X a2 + y2 — x2 A x2 — x2 > 0) 
目标 10, 赋值 | 
{xl = (y1 +1) X z2 + y2 — z2 A y2—22 > 0)y1 := yl 十 1 
{zl = yl X r2 + y2 — r2 A y2— r2 > 0) 
A1. 赋值 
{xl = yl X r2 + y2— z2 A y2— z2 > 0)y2 := y2— z2 
{zl = yl X x2 + y2—22 A y2 > 0} 
有 几 种 证 明 系 统 扩展 了 Hoare 证 明 系 统 用 于 验证 并 发 程序 [11，48，126]。 这 些 证 明 系 统 提 
供 了 处 理 共享 变量 、 同 步 和 异步 通信 以 及 过 程 调用 前 公理 。 它 们 通常 为 某 一 特定 的 编程 语言 加 
以 调整 ， 如 并 发 Pascal 或 CSP。 感 兴趣 的 读者 可 以 参考 列 在 本 章 末 尾 的 书籍 。 


7.5 并 发 程序 的 验证 


Manna 和 Pnueli [91] 提出 了 一 个 用 于 处 理 并 发 的 通用 的 证 明 系 统 。 该 系统 不 直接 和 任何 特 
定 的 语法 挂钩 ， 而 是 假设 所 考虑 的 程序 被 翻译 成 一 组 原子 转换 (参见 4444), 这 样 就 能 提供 一 
个 统一 的 验证 系统 用 于 不 同 的 编程 语言 和 并 发 范 型 。 证 明 规 则 也 允许 验证 不 同 的 时 序 属性 ， 而 
不 仅 是 部 分 和 完全 正确 性 。 

蕴含 〈entailment) 是 一 个 形 如 pg 二 yy 的 公式 ， 这 是 口 (pg 一 办 的 速记 法 。 符 号 {pg}i( 办 是 在 一 
些 证 明 规则 中 作为 前 提出 现 的 断言 。 它 的 意思 是 如 果 从 满足 wp 的 状态 开始 执行 ， 那 么 就 会 到 达 
满足 y 的 状态 。 这 种 符号 表示 显示 了 该 前 提 以 类 似 于 Hoare 三 元 组 的 方式 运作 。 考 虑 一 个 转换 
fi em) :二 (er， er)。 它 先 通过 一 个 判定 谓词 ， 接 着 执行 一 个 多 赋值 。 因 此 ， 
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形 如 (o}tly) 的 前 提 可 被 如 下 蕴含 替换 ， 
Co A p) > (le /ys e, /u, J) 
我 们 将 以 Manna-Pnueli 风格 介绍 一 组 证 明 规 则 。 
FOL: 和 在 Hoare 证 明 系 统 中 一 样 ，Manna 和 Pnueli 证 明 系 统 包 含 了 一 个 在 适 于 被 验证 程序 
的 结构 S 上 的 一 些 重要 一 阶 逻 辑 的 正确 、 完 整 的 一 阶 公理 化 。 每 个 在 结构 S 上 成 立 的 一 阶 公式 p, 
即 太 5p， 在 任何 问题 执行 中 的 任何 地 方 都 成 立 。 因 此 它 也 是 (任何 程序 的 ) 不 变 式 。 
Esg 
Dy 
该 规则 能 将 S 中 形 如 p>y HARRAABAR, MOY). 
INV: 该 规则 用 于 证 明 一 个 断言 了 是 不 变 式 。 回 忆 一 下 ，@ 表 示 程 序 的 初始 条 件 。 
H @ 一 9 
P 对 于 每 个 上 ET,(Pp)ifp) 
I3 PY” 
Oy 
规则 INV 通过 归纳 法 证 明了 ERER: 
I1 这 是 归纳 的 基础 。 它 声明 了 o 在 初始 时 成 立 。 
2 这 是 步骤 。 它 声明 了 如 果 9 在 执行 过 程 中 的 某 个 状态 成 立 ， 那 么 无 论 取 哪个 转换 ， 它 在 
下 一 状态 依然 成 立 。 
B 本 步骤 证 明了 只 要 p 成 立 ，? 就 成 立 。 
证 明 规 则 INV 一 眼看 去 可 能 显得 过 于 复杂 ; 好 像 在 I1 和 也 中 出 现 的 公式 ç 能 用 7 本 身 代 
替 。 那么 DD 就 显得 多 余 了 。 这 是 不 对 的 ， 理由 是 并 非 每 个 不 变 式 都 能 用 这 种 替代 的 方式 证 明 ， 
我 们 可 能 需要 把 2 加 强 成 g。 考 虑 简化 的 证 明 规 则 INV’. 
I’ @~+>y 
1 对 于 每 个 上 E T miiy 
On 
为 了 展示 同时 使 用 INV' 和 FOL 来 证 明 必 要 的 一 阶 蕴 合 式 的 方法 可 能 不 足以 证 明 不 变 式 ， 考 
虑 一 个 自然 数 上 的 小 《顺序 ) 程序 : 
初始 zz 一 0,y 一 0 
ml:z := z+ 1; 











m2:y := y+ 1;goto ml; 
对 于 该 程序 ， 初 始 条 件 是 8， c=0N y=0 A pc 二 ml。 两 个 转换 有 是， 
tl: pe = m] > (x, pc) := (z=+ 1,m2) 
t2: bc = m2 — (y, pc) := (y+ 1,ml) 
考虑 不 变 式 7 一 pc 二 m1 一 z 三 y。 这 的 确 是 程序 的 一 个 不 变 式 。 然 而 ， 它 仅 描述 了 程序 计数 器 
在 ml 时 的 状态 ， 没 有 给 出 其 他 状态 的 信息 。 我 们 马上 会 看 到 ， 这 个 不 变 式 因为 过 弱 而 不 能 直接 
用 于 INV'。 考虑 (2i. BMT 
(pe = m] > zx = y) A Pc = m2) > (ml = m > r= y+1) 
这 可 简化 成 
(Cp =ml+~z=y) 人 pe = m2) > (4 = y + 1) 
该 一 阶 逻 辑 断 言 可 能 不 是 总 能 成 立 ， 例 如 ， 考 虑 赋值 {pc m2， zh>3，yH>3}。 因 此 我 们 
不 能 用 FOL 证 明 前 提 五 '。 不 变 式 7 没有 提供 足够 的 信息 用 于 归纳 。 我 们 说 7 是 不 可 归纳 的 。 为 
证 明 7， 我 们 需要 强化 它 。 例 如 . 我 们 能 在 INV 中 使 用 
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g = (pc = ml — z == y) A (Px = m2 — z = y+ 1) 
证 明 规 则 INV’ 和 FOL 能 够 一 起 用 于 证 明 一 个 程序 的 不 变 式 。 这 些 规则 是 正确 的 。 问 题 是 它 
们 没有 为 不 变 式 提 供 一 个 完整 的 规则 集合 。 


练习 7.5.1 使 用 INY 证明 上 面 例子 中 的 口 ?7。 
NEXT, 用 于 证 明 形 如 ?之 Oy 的 属性 的 规则 。 


H ¢> Vieren: 
2 对 于 每 个 1 € T (otip 
POY 
前 提 Il 声明 了 在 每 个 满足 p 的 状态 中 至 少 有 一 个 可 执行 的 转换 。 前 提 且说 明了 每 个 始 于 o 
的 可 执行 的 转换 ， 它 从 满足 9 的 一 个 状态 开始 执行 ， 结 束 于 一 个 满足 y 的 状态 。 因 此 p> Og. 
FCS: 规则 FCS 用 于 将 满足 断言 o 的 状态 集合 划分 成 两 个 集合 。 一 个 集合 包含 满足 由 OR 
态 ， 另 一 个 集合 包含 满足 的 状态 。 然 后 ， 证 明 mw 一 〇 YN 是 通过 分 别 对 满足 o, 的 状态 和 满足 p 
的 状态 证 明 来 完成 的 。 为 获得 该 规则 的 一 般 化 效果 以 使 其 能 用 于 任意 数目 的 wm ， 此 规则 可 以 重复 
使 用 。 





FCS ¢>(m Ve) 
p>Oy 
p> Og 
pOy 
FIMM; FAMKE p 二 y 看 做 g 二 今 y 的 一 个 特例 。 
_—p> 
e >O 
FTRN: 规则 FTRN 可 以 证 明 gp 之 人 %。 首 先 找到 某 个 被 p 和 乡间 的 中 间 状 态 满足 的 断言 ，， 
然后 通过 证 明 p> Ov My 二 Oy 来 完成 。 
pO» 
v = 
p>Oy 
FPRV: 该 规则 将 pg >Op RM p 二 Oy 的 一 个 特例 。 
FPRV 9>O¢ 
p>Oy 
FSPLIT: 规则 FSPLIT 允许 分 解 gp 二 Oy 的 证 明 ， 方 法 是 将 满足 p 的 状态 集合 分 解 成 满足 o, 
的 状态 和 满足 p 的 状态 。 然 后 只 需要 分 别 证 明 e> QO, i=l, 2, 
FSPLIT 9>(y, V ø) 
e> Og 
gO" 
prog 
RESP: $ (W, >) 为 一 良 基 域 ，e 为 一 涉及 程序 中 变量 的 表达 式 ， 
RI ç=(¿V p 


R2 >eE W 
R3 C A e= SOV Q A e < o) 
p 之 人 0 


其 中 ”是 新 的 变量 ， 它 不 出 现在 程序 中 ， 或 是 在 任何 一 个 公式 9， 几 和 w 中 ,或 是 在 表达 式 。 中 。 
BOSE R 声明 了 在 gp 成 立 的 每 个 状态 中 ，y 或 是 #5 成立。 前 提 R2 声明 了 当 7 成 立时 ， 表 达 式 
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e 的 值 在 集合 WH. BE R3 声明 了 如 果 7 成 立 ， 且 表达 式 。 有 某 个 值 w， 那 么 最 终 要 么 YRZ, 
要 么 ?成 立 且 e 的 值 最 终 会 减 小 到 小 于 w 的 某 个 值 。 因 此 ， 根 据 R1， 如 果 9? 成 立 但 是 少 未 成 立 ， 
则 y 必须 成 立 。 根 据 R3， 要 么 少 最 终 会 成 立 ， 要 么 有 另 一 个 未 来 的 状态 使 得 表达 式 e 计算 得 到 一 
个 更 小 的 值 。 但 是 多 了 永 不 发 生 是 不 可 能 的 ， 否 则 会 有 一 个 满足 ?7 的 无 限 状态 序列 ， 和 一 个 。 值 无 
限 递减 的 序列 。 这 和 (W, >) 是 良 基 域 这 一 事实 相 有 矛盾。 因此 ， 和 良 基 域 是 用 来 展示 从 o 成 立 的 
状态 发 展 到 y 成 立 的 状态 的 过 程 的 。 该 发 展 过 程 用 表达 式 。 的 值 的 减 小 来 衡量 。 因 为 这 种 减 小 不 
能 永远 继续 ， 所 以 yy 最 终 会 成 立 。( 注 意 该 证 明 规 则 和 7. 3 节 中 顺序 程序 的 完全 正确 性 的 证 明 系 
统 的 相似 性 。) 

还 有 许多 其 他 能 够 使 用 的 证 明 规 则 。 证 明 公平 性 下 可 能 发 生 的 事件 的 证 明 规 则 在 某 种 程度 
上 更 为 复杂 ， 这 可 以 在 【92] 中 找到 。 

RE, BZ 6.12 节 中 介绍 的 安全 属性 。 在 那 一 节 中 为 该 特殊 类 别 的 属性 提供 了 一 个 简单 的 
模型 检验 算法 。 安 全 属性 在 演绎 验证 环境 中 能 更 为 简单 地 得 到 处 理 。 

众多 定义 安全 属性 的 方法 中 的 一 种 是 : 为 程序 添加 一 个 新 的 叫做 历史 变量 的 变量 集合 H, 
并 且 允 许 将 程序 的 相同 或 是 扩展 签名 上 的 任意 的 程序 表达 式 赋值 给 这 些 变量 。( 一 个 技术 性 的 备 
注 : 为 了 完备 性 我 们 可 能 需要 用 这 些 变量 来 编码 某 些 值 的 序列 ， 可 以 通过 添加 能 够 存储 值 序列 
的 变量 ， 或 是 通过 一 个 允许 编码 序列 的 域 如 自然 数 来 实现 .) 这 些 赋 值 能 够 保存 程序 历史 的 一 些 
信息 ， 因 此 以 一 种 类 似 6. 12 节 中 描述 的 安全 自动 机 的 状态 的 方式 来 工作 。 那 么 一 个 安全 属性 就 
是 任意 使 用 程序 和 历史 变量 的 不 变 式 g， 换 言 之 ,就 是 一 个 形 如 口 p 的 LTL 属性 。 对 于 这 种 情 
况 ， 我 们 为 证 明 安 全 属性 所 需要 的 时 序 证 明 规则 只 是 FOL 和 INV, : 

关于 这 种 验证 风格 的 更 多 内 容 ， 包 括 许多 例子 ， 可 参见 [91, 92, 93]. 


练习 7. 5. 2 ”对 规则 RESP 的 进一步 研究 表明 该 规则 的 结果 可 变 成 一 个 直到 (“U”) 属性 。 
然而 ， 诸 如 FCS, FRTN, FPRV 等 规则 也 相应 地 需要 调整 。 给 出 这 些 恰当 的 证 明 规则 。 
练习 7. 5.3 为 4.6 节 中 的 互 斥 程序 证 明 互 斥 属性 口 ~(pc, 二 m5 A poy =n), 


7.6 演绎 验证 的 优点 


演绎 验证 是 证 明正 确 性 的 一 种 综合 性 方法 。 它 不 局 限于 有 限 状 态 系统 〈 不 像 其 他 模型 检验 
技术 ) 。 它 能 够 处 理 不 同 域 整数， 实数 ) 上 的 程序 以 及 数据 结构 〈 栈 ， 队 列 ， 树 ) 。 它 甚至 允许 
参数 化 程序 的 验证 ， 例 如 有 任意 数目 相同 进程 的 程序 。 自 动 验证 技术 通常 只 能 检验 这 类 程序 的 
特定 实例 ,例如 检验 全 部 含有 1 一 7 个 进程 的 实例 。 不 可 判定 的 结果 表明 了 通常 我 们 不 能 自动 化 
参数 化 程序 的 验证 [10]， 除 此 以 外 模型 检验 还 易于 发 生 状态 空间 爆炸 ， 这 很 大 程度 上 限制 了 能 
被 检验 的 并 发 进程 的 数目 。 

演绎 验证 的 过 程 通常 涉及 大 量 脑 力 劳动 。 它 更 多 地 由 代码 开发 者 以 外 的 人 员 来 完成 。 这 有 
助 于 增加 试图 理解 程序 算法 背后 的 直观 内 容 的 人 数 ， 因 此 能 增加 发 现 错误 的 几率 。 另 一 方面 ， 演 
绎 验证 也 涉及 引入 严密 性 以 及 使 用 数学 理论 ， 这 有 时 候 能 带 来 一 些 回报 ， 诸 如 ， 

。 发 现代 码 中 的 错误 并 且 纠 正 它们 。 

` 一 般 化 被 验证 的 算法 以 发 现 预 料 之 外 的 情况 ， 

` 更 好 地 理解 被 验证 的 算法 。 

通常 ， 模 型 检验 提供 了 程序 正确 性 不 能 保持 情况 下 的 有 用 证 据 ， 而 演绎 验证 则 提供 了 为 什 
么 程序 能 运行 的 直观 解释 。 因 此 ， 如 果 可 能 的 话 ， 同 时 使 用 模型 检验 和 定理 证 明 能 够 提供 任 一 情 
沈 下 的 信息 。( 有 关 模 型 检验 不 能 找到 一 个 反例 时 构建 证 明 的 自动 生成 的 方法 ， 参 见 C1177]. 

验证 理论 引入 了 多 种 有 用 的 工具 和 概念 来 增加 被 开发 代码 的 可 靠 性 ， 甚 至 是 在 这 些 验 证 的 
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形式 化 方法 还 没有 被 使 用 的 时 候 。 一 个 例子 是 不 变 式 的 概念 ， 即 需要 在 整个 代码 执行 过 程 中 成 
立 的 断言 。 不 变 式 通常 将 不 同 变量 的 值 互 相关 联 起 来 ， 以 及 将 这 些 变量 的 值 关 联 到 代码 中 特定 
的 位 置 上 。 一 种 增加 代码 可 靠 性 的 方法 是 要 求 程序 员 提 供 不 变 式 作为 代码 开发 过 程 的 一 部 分 。 
不 变 式 能 够 用 于 运行 时 验证 (runtime verification)， 方 法 是 把 不 变 式 插入 到 代码 中 作为 额外 的 请 
BJ; 如 果 某 个 应 当成 立 的 不 变 式 未 能 成 立 ， 额 外 的 代码 会 触发 一 个 中 断 来 禁止 程序 继续 运行 ， 并 
且 立 即 报告 这 一 问题 。 

当 验 证 实际 的 代码 较为 困难 的 时 候 ， 验 证 一 个 抽象 的 、 较 少 细节 的 版 本 至 少 能 增加 一 点 可 
靠 性 。 这 和 盛行 的 自动 验证 的 方法 并 无 太 大 差别 ， 后 者 通常 在 实际 的 验证 过 程 前 对 实际 代码 进 
行 抽象 。 尽 管 程序 的 验证 可 能 是 困难 的 ， 但 验证 程序 背后 的 算法 也 许 是 可 以 接受 的 一 项 任务 ， 并 
且 它 能 够 为 代码 提供 更 好 的 可 信和 度 。 对 一 些 至 关 重 要 的 系统 ， 故 障 可 以 引发 巨大 的 损害 ， 因 此 尽 
管 完 全 的 验证 会 耗费 特别 的 人 力 和 资源 ， 也 应 该 使 用 。 

演绎 式 形式 化 验证 中 的 概念 可 以 在 软件 可 靠 性 方法 学 中 非 形 式 化 地 使 用 ， 如 10. 3 节 中 介绍 
的 净 室 方法 。 最 后 ， 演 绎 验证 证 明 系 统 也 可 以 被 看 做 是 编程 语言 结构 的 形式 化 语义 的 数学 定义 。 
7.4 节 中 的 Hoare 证 明 系 统 是 一 个 经 典 例子 ， 它 能 作为 类 Pascal 编程 语言 的 形式 化 语义 定义 。 这 
有 助 于 开发 更 简洁 、 更 易于 理解 的 语言 。 原 则 上 ， 如 果 一 个 新 的 编程 结构 难以 结合 到 证 明 系 统 
中 ,这 可 能 意味 着 它 没 有 被 完整 地 理解 或 是 很 好 地 定义 。 


7.7 演绎 验证 的 缺点 


演绎 验证 的 一 个 问题 是 它 非常 耗 时 。 在 大 型 项 目 中 ， 演 绎 验证 可 能 成 为 项 目的 瓶颈 。 验 证 的 
速度 明显 慢 于 标准 的 编程 速度 。 比 起 其 他 的 形式 化 方法 技术 如 测试 和 模型 检验 ， 演 绎 验证 也 是 ， 
一 个 相当 慢 的 方法 。 

我 们 通常 是 验证 一 个 可 能 和 实际 程序 不 同 的 代码 的 简化 模型 。 即 使 我 们 试图 验证 实际 代码 ， 
证 明 系 统 也 可 能 会 为 被 验证 的 代码 假设 不 同 的 语义 解释 。 例 如 ， 证 明 系 统 为 简单 赋值 z :一 z 十 1 
给 出 的 语义 可 能 是 增加 =。 而 实际 的 代码 是 对 一 个 32 位 、 补 码 格 式 的 寄存 器 加 1， 并 生 当 溢出 发 
生 时 升 高 一 个 标志 位 〈 或 是 引发 一 个 中 断 ) 。 

错误 可 能 因为 其 他 原因 而 被 植 人 到 证 明 中 。 例 如 ， 这 可 能 是 因为 一 个 错误 的 编译 器 〈 在 罕见 
的 情况 下 ， 甚 至 是 因为 错误 的 硬件 ) 导致 的 结果 。 想 要 验证 代码 执行 所 依赖 的 所 有 层次 基本 是 不 
可 能 的 。 然 而 ， 在 某 些 极 少 的 情况 下 是 可 以 得 到 这 样 一 个 经 过 验证 的 层次 体系 的 〈 硬 件 ， 编 译 
器 ， 代 码 ) [19]. 

计算 机 程序 的 发 展 增加 了 使 用 诸如 过 程 调用 和 面向 对 象 代码 等 结构 。 不 幸 的 是 ， 演 绎 验证 
未 能 表现 出 与 之 对 应 的 扩展 能 力 。 并 发 程序 比 起 顺序 代码 更 易于 出 错 ， 因 此 更 需要 验证 。 这 类 程 
序 的 验证 特别 困难 。 本 质 上 ， 证 明 器 经 常 必须 同时 使 用 所 有 相关 进程 的 全 局 性 知识 。 或 许 解决 扩 
展 性 问题 的 方法 不 仅仅 是 试图 开发 更 好 的 证 明 系 统 和 自动 化 的 证 明 器 ， 还 需要 重视 验证 需求 的 
更 好 的 编程 语言 和 编程 习惯 。 在 这 个 方向 上 已 经 迈 出 的 一 步 是 不 变 式 的 概念 ， 不 变 式 已 经 从 程 
序 验证 领域 扩散 到 程序 开发 社区 。 

演绎 验证 大 部 分 是 手动 完成 的 ， 且 极 大 地 依赖 于 验证 人 员 的 智慧 。 验 证 人 员 可 能 会 得 到 程 
序 员 或 设计 人 员 的 帮助 ， 他 们 需要 提供 恰当 的 不 变 式 (在 执行 中 的 任何 位 置 都 成 立 的 断言 )， 以 
及 中 间断 言 〈 在 执行 过 程 中 的 某 些 点 上 成 立 的 断言 )。 通 常 ， 自 动 获取 这 些 断 言 是 不 可 行 的 ， 尽 
管 有 一 些 启发 式 技巧 。 此 外 ， 部 分 证 明 中 涉及 简单 逻辑 蕴含 式 的 内 容 无 法 自动 化 ， 这 是 因为 证 明 
系统 中 存在 已 经 用 数学 方法 证 实 了 的 局 限 。 演 绎 验证 需要 大 量 的 专门 知识 以 及 数学 背景 ， 要 找 
到 具有 合适 知识 的 人 来 进行 验证 可 能 会 有 难度 。 

手工 建立 的 证 明 有 可 能 会 包含 错误 。 由 于 整个 验证 过 程 的 困难 性 以 及 复杂 的 本 质 ， 验 证 人 
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员 也 许 会 想 使 用 “捷径 >?， 简 单 的 看 上 去 毫 无 问题 的 蕴含 式 (例如 zx 之 y~z>y) 或 是 简单 的 代码 
片段 会 被 假设 为 正确 的 而 没有 去 证 明 。 由 工具 支持 的 演绎 验证 仍然 有 潜在 的 问题 ， 那 就 是 工具 
里 的 错误 。 当 考虑 验证 人 员 完 成 工作 的 质量 问题 ， 或 是 验证 工具 的 正确 性 问题 ， 都 会 提出 一 个 疑 
问 :“ 谁 来 检验 验证 人 员 ?2” 

最 后 ， 演 绎 验证 中 发 生 的 一 个 常见 错误 是 对 被 验证 域 做 了 过 多 的 假设 。 验 证 人 员 在 验证 过 
程 中 会 倾向 于 添加 更 多 的 看 上 去 很 简单 而 且 有 助 于 缩短 证 明 的 假设 ,然后 错误 地 把 这 些 假设 当 
成 公理 。 这 些 添 加 的 假设 可 能 会 限制 证 明 的 一 般 性 ， 实 际 上 这 些 假设 仅 在 一 些 特殊 的 实例 中 成 
立 。 一 些 自 动 化 的 证 明 锻 限制 了 添加 的 假设 的 使 用 ， 它 们 或 是 强制 用 户 使 用 那些 已 经 通过 工具 
证 明 的 定理 去 证 明 每 条 添加 的 假设 ,或 是 把 使 用 额外 假设 的 证 明 标 记 为 “不 安全 ”。 

我 们 下 面 用 验证 一 个 算法 的 经 验 来 总 结 有 关 演 绎 验证 优点 和 缺点 的 讨论 。SPIN 中 使 用 的 偏 
序 约 简 算法 [67] 是 用 定理 证 明 器 HOL 来 形式 化 验证 的 [26]。 由 于 该 算法 很 复杂 ， 并 且 经 常 
用 在 模型 检验 工具 中 来 验证 或 是 发 现 错误 ， 因 此 人 们 认为 其 重要 程度 已 经 值得 形式 化 验证 所 需 
的 时 间 和 努力 。 该 过 程 花费 了 一 个 人 十 周 的 工作 时 间 ， 产 生 了 超过 7000 行 的 HOL 证 明 。 进 行 
这 项 证 明 工 作 是 值得 的 ， 因 为 该 算法 得 到 了 扩展 ， 可 用 于 验证 同时 包含 硬件 和 软件 的 嵌 人 式 系 
统 。 然 而 ， 一 年 之 后 ， 人 们 发 现 当 算 法 的 特定 的 实现 和 SPIN 中 的 “即时 ”DFS 一 起 工作 时 会 引 
发 一 个 错误 [68]。 这 个 特别 的 经 验证 明了 如 下 已 经 在 本 书 中 讨论 过 的 观点 ， 

。 演绎 验证 是 非常 耗 时 且 相 当 复 杂 的 。 

。 可 能 需要 对 算法 进行 抽象 以 便于 验证 。 

° 抽象 版 本 和 实际 实现 间 的 差异 意味 着 即便 证 明 是 有 效 的 ， 代 码 仍 有 可 能 包含 错误 。 

。 模型 检验 工具 和 其 他 软件 一 样 可 能 包含 错误 ， 其 本 身 也 需要 验证 和 测试 。 


7.8 证 明 系统 的 正确 性 和 完备 性 


给 出 一 个 证 明 系 统 ， 我 们 想 要 保证 只 有 正确 的 断言 能 被 证 明 。 这 被 称 为 证 明 系 统 的 正确 性 
《soundness) 。 当 一 个 证 明 系 统 由 一 组 公理 和 证 明 规 则 给 定时 ， 其 正确 性 通过 以 下 两 点 来 证 明 ， 
° 所 有 公理 产生 的 断言 都 是 正确 的 。 
° 对 每 一 个 证 明 规则 ， 如 果 前 提成 立 ， 那 么 结论 也 成 立 。 
例如 ， 研 究 一 下 Hoare 证 明 系 统 ， 也 许 有 人 能 使 自己 确信 其 公理 和 证 明 规 则 在 上 述 意 义 下 
是 正确 的 。 然 而 这 该 如 何 形式 化 验证 呢 ? 一 种 可 能 性 是 Hoare 公理 和 证 明 规 则 按 定义 是 正确 的 ， 
即 它们 定义 了 诸如 顺序 、while 循环 和 if-then-else 选择 等 编程 结构 如 何 执行 。 
一 种 不 同 的 方法 是 用 一 些 数学 对 象 来 形式 化 地 定义 编程 语言 的 语义 ， 例 如 将 每 个 程序 映射 
到 一 组 状态 序列 上 ， 每 个 序列 代表 一 个 执行 。 我 们 需要 证 明 这 种 定义 和 证 明 系 统 之 间 的 一 致 性 ， 
这 里 同样 存在 程序 及 其 模型 间 的 差异 ， 因 为 实际 程序 的 行为 可 能 会 不 同 。 
对 证 明 系 统 在 多 大 程度 上 能 够 证 明 一 个 正确 的 断言 做 一 个 现实 的 评估 也 是 非常 重要 的 。 证 
” 明 系统 的 最 终 目标 是 成 为 完备 的 系统 ， 换 句 话说 就 是 要 能 够 证 明 每 一 个 用 规约 机 制 表 示 的 正确 
的 断言 。 有 一 些 技术 难题 阻碍 了 程序 验证 证 明 系统 达到 这 一 目标 ,特别 是 对 于 基于 一 阶 逻辑 的 
系统 
”在 某 些 域 上 的 基础 性 逻辑 可 能 本 身 就 不 具备 一 个 完整 的 公理 和 证 明 规则 集合 (参见 3. 6 
节 ) 。 我 们 经 常 想 要 使 用 自然 数 域 上 的 一 阶 逻 辑 。 Godel 著名 的 不 完备 定理 表明 了 自然 数 
的 完备 的 证 明 系 统 是 不 存在 的 。 因 此 ， 在 Hoare 逻辑 中 ， 在 试图 证 明 所 需 的 一 阶 列 含 式 
时 我 们 可 能 会 遇 到 困难 ， 例 如 在 左 强化 或 右 弱 化 规则 中 ， 
”证明 所 需 的 关联 于 程序 某 些 位 置 上 的 不 变 式 或 是 中 间断 言 可 能 不 能 使 用 基础 的 一 阶 ) 
逻辑 来 表达 。 例 如 ， 假设 程序 使 用 了 菜 种 关系 RR 和 它 的 传递 闭 包 (transitive closure) 
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R", Mack y 仪 当 有 一 组 从 x 2] y 的 元 素 序列 ， 其 中 相连 的 元 素 由 开关 联 。 可 以 证 明 一 
阶 逻 辑 不 能 表达 工 和 y 是 由 一 个 给 定 关系 的 传递 闭 包 关联 的 [38] (尽管 在 一 阶 逻辑 中 要 
表达 一 个 关系 及 在 传递 关系 下 是 闭合 的 是 相当 简单 的 ) 。 
在 大 多 数 情 况 下 ， 这 些 技 术 难 题 导致 了 完备 的 程序 正确 性 的 证 明 系 统 是 不 存在 的 。 然 而 ， 研 
究 人 员 发 明了 一 个 更 弱化 的 概念 ， 叫 做 证 明 系 统 的 相对 完备 性 (relative completeness) 。 该 概念 
形式 化 了 这 样 一 个 属性 : 任何 导致 证 明 失 败 的 原因 仅 限 于 上 面 的 两 条 原因 ， 和 处 理 程序 的 证 明 
系统 无 关 。 当 在 下 面 两 种 情况 下 任何 正确 的 断言 都 能 被 证 明 时 ， 一 个 证 明 系 统 就 是 相对 完备 的 ， 
1. 每 个 证 明 中 需要 的 正确 的 《〈 一 阶 ) 逻辑 断言 都 已 经 作为 一 条 公理 包括 在 证 明 系 统 中 。 换 名 
话说 ， 存 在 一 个 无 所 不 知 的 判定 规则 《oracle) 〈 例 如 可 以 是 人 ) 来 负责 决定 一 个 断言 正确 与 否 。 
2. 每 个 我 们 需要 的 不 变 式 或 中 间断 言 都 是 可 表达 的 。 
有 这 些 〈 有 时 候 是 不 现实 的 ) 假设 就 可 以 证 明 如 Hoare, Floyd 和 Manna 以 及 Pnueli 证 明 系 
统 的 相对 完备 性 。 第 一 眼看 去 这 可 能 是 个 无 用 的 数学 练习 ， 或 是 证 明 系 统 的 开发 人 员 企图 将 可 
能 的 失败 的 责任 转嫁 给 其 他 研究 人 员 。 然 而 事实 不 是 这 样 的 ， 相 对 完备 性 是 一 个 重要 而 深刻 的 
Be, BA: 
， 它 能 识别 验证 中 出 现 的 问题 到 底 在 哪里 ,而 且 有 助 于 描述 哪些 是 可 能 和 的， 哪些 是 不 可 
能 的 。 

© 它 能 提出 规避 问题 的 方法 。 例 如 当 证 明 不 需要 乘法 时 ， 可 以 使 用 Presburger 算术 。 它 仅 
包含 加 法 、 减 法 和 常量 乘法 ， 是 自然 数 上 的 可 判定 理论 。 不 过 注意 乘法 可 用 重复 的 加 法 
来 编写 。 

° 它 给 出 了 正确 性 证 明 存 在 的 希望 。 尽 管 不 可 能 证 明 所 有 的 基础 逻辑 和 域 的 正确 定理 ,但 
一 个 写 好 的 程序 很 可 能 是 基于 已 证 明 的 属性 。 杏 则 ， 就 没有 好 的 理由 去 相信 它 确 实 是 
对 的 。 


7.9 组 合 性 

我 们 渴求 能 够 分 别 验 证 系统 的 不 同 部 分 ， 然 后 将 证 明 合并 起 来 。 这 叫做 组 合 验 证 (composi- 
tional verification) 。 对 顺序 程序 ， 可 以 把 Hoare 证 明 系 统 看 成 是 组 合 的 ; 要 证 明 顺 序 组 合 {go} Si 
S (人 钞 ， 可 以 通过 找到 既是 S AG BREE S, 的 前 置 条 件 的 断言 7， 然 后 分 别 证 明 (2)S (9) 和 
{Siig} 来 实现 。 很 自然 我 们 想 找 到 Hoare 证 明 系 统 的 一 个 扩展 ， 使 得 能 够 以 组 合 的 方式 来 处 理 
并 发 程序 。 理 想 情 况 下 ， 我 们 想 把 分 开 的 不 同 进程 的 证 明 组 合成 一 个 完整 系统 的 证 明 。 我 们 现在 
说 明 这 一 目标 会 带 来 一 些 困难 。 

假设 我 们 要 证 明 对 某 个 并 发 系统 P, || P, ， 属 性 9 人 乡 成 立 ， 其 中 p 只 涉及 P. 中 的 变量 , y 
只 涉及 P, 中 的 变量 。 一 种 直接 的 尝试 是 证 明 当 P, 和 P, 分 开 执行 时 ， pX P: 成立，y 对 P, 成 
立 。 这 是 很 难 成 功 的 : 在 大 多 数 程序 中 ，P, 和 P, 之 间 的 交互 会 对 它们 的 行为 造成 重要 的 影响 。 
单个 孤立 进程 可 能 甚至 都 不 能 运行 完 〈 例 如 ， 它 可 能 会 永久 等 待 其 他 进程 的 消息 ， 或 是 其 他 进程 
会 改变 某 个 变量 的 值 )， 并 且 当 和 其 他 进程 一 起 运行 时 它 的 行为 会 不 同 。 

另 一 种 组 合 验证 的 尝试 是 用 一 个 更 小 、 更 简单 的 进程 P, 来 代替 P, ，P, 已 被 证 明 满足 Jy， 并 
且 证 明 P. || P, 满足 p。 然 后 做 对 称 的 证 明 ， 用 P, 来 代替 已 ， 证 明 少 对 组 合成 立 。 然 而 ， 这 种 证 
明 方案 的 论证 是 循环 的 ， 可 能 会 导向 错误 的 结果 。 

例如 ， 假 设 声明 了 变量 z 的 值 最 终 从 0 改变 为 1, 4 声明 了 变量 y 的 值 最 终 从 0 改变 为 1。 
现在 ,假设 已 的 结构 是 它 首先 等 待 一 个 来 自 p, 的 消息 ， 该 消息 意味 着 y 的 值 在 z 的 值 政变 前 
EKET. X, P, 在 等 待 一 个 消息 ， 该 消息 意味 着 z WEP, 改变 y 前 被 改变 了 。 显 然 ， 
P, |) P, 不 满足 Ay. 根据 上 面 的 证 明 策 略 ， 我 们 可 以 用 一 个 进程 P, 来 代替 已,， P, 不 用 等 待 就 


128 + 第 7 音 演绎 式 软件 验证 


能 把 > 从 0 改 为 1。 BAP, ||P, 满足 p。 类 似 地 ， 我 们 可 以 用 一 个 进程 P, RRSP, P, 不 用 等 
待 就 能 把 zx 从 0 改 为 1。 那 么 P, || P, REg 这 能 导致 关于 P. | P, 错误 的 结论 。 


7.10 演绎 验证 工具 

Manna-Pnueli 证 明 系 统 的 实验 可 通过 STeP (Stanford Theorem Prover) 工具 来 进行 。 此 工 
具 可 通过 http; //rodin. stanford. edu 获得 。 

TLV 系统 可 被 用 于 演绎 式 程序 验证 〈 也 可 用 于 模型 检验 )。 它 可 以 通过 http://www. wis- 
dom. weizmann. ac. il/-~ verify/tlvy 获得 。 

演绎 式 定理 证 明 ， 如 3. 11 节 中 提 到 的 那些 ， 也 可 以 被 用 来 验证 程序 的 属性 。 

注意 : 使 用 形式 化 方法 系统 经 常 需要 填写 和 发 送 一 张 授权 表格 并 遵守 一 些 使 用 条 款 。 


7.11 扩展 阅读 
以 下 两 篇 综述 Hoare 验证 方法 的 简练 文章 由 K. R. Apt 撰写 ， 


K.R. Apt, Ten years of Hoare's logic: A survey, part I, Transactions on 
Programming Languages and Systems, 3(4), 1981, 431-383. 
K.R. Apt, Ten years of Hoare’s logic: A survey, part II: Nondeterminism, 
Theoretical Computer Science 28, 1984, 83-109. 

关于 Hoare 风格 的 演绎 式 定理 证 明 有 几 本 书籍 ， 包 括 ， 

N. Francez, Program Verification, Addison Wesley, 1992. 

K. R. Apt, E.-R. Olderog, Verification of Sequential and Concurrent Pro- 
grams, Springer-Verlag, 1991 (second edition, 1997). 

F.B. Schneider, On Concurrent Programming, Springer-Verlag, 1997. 


后 者 同时 也 包含 了 Manna-Pnueli 风格 的 验证 方法 。 一 本 全 面 的 关于 安全 属性 的 时 序 验 证 的 
书籍 是 : 
Z. Manna, A. Pnueli, Temporal Verification of Reactive Systems: Safety, 
Springer-Verlag, 1995. 
Kröger 的 书 也 介绍 了 时 序 验证 方法 。 


F. Kröger, Temporal Logic of Programs, EATCS Monographs on Theoretical 
Computer Science, Springer-Verlag, 1992. 
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“sek MBE: 今天 早晨 我 起 床 的 时 候 是 不 是 还 是 原样 ? 我 有 点 觉得 ， 我 能 记得 有 点 儿 
不 同 的 感觉 。 不 过 我 要 是 变 得 不 一 样 了 ， 那 么 下 一 个 问题 是 ;我 到 底 是 谁 呢 ? …… 
| 刘易斯 ， 卡 洛 尔 《爱丽 丝 漫游 奇 境 记 》 


进程 代数 是 对 系统 行为 建 模 的 形式 化 表述 方法 。 进 程 代数 技术 和 算法 可 以 用 来 表示 两 个 系 
统 〈 模 型 ) 之 间 存 在 某 种 精确 定义 的 关系 ， 例 如 一 个 系统 RED 可 以 模拟 另 一 个 系统 RED. 
这 可 以 用 来 证 明 某 个 系统 是 另外 一 个 系统 的 实现 或 精 化 。 基 于 进程 代数 的 手工 或 自动 证 明 两 个 
系统 间 存 在 某 种 特定 关系 的 技术 可 用 于 逐步 精 化 式 的 软件 开发 过 程 。 在 这 样 一 个 过 程 中 ， 开 发 . 
从 产品 规约 开始 ， 经 过 逐步 的 精 化 ， 最 终 得 到 实际 的 代码 ， 精 化 的 各 个 阶段 ， 通 过 确保 等 价 关 系 
来 保证 精 化 过 程 的 正确 性 。 精 化 同时 也 允许 (开发 人 员 ) 使 用 一 种 层次 化 的 结构 来 描述 一 个 系 
统 ， 在 该 层次 结构 中 ， 每 一 层 同 上 一 层 之 间 都 有 严格 的 形式 化 等 价 关 系 。 

由 于 进程 代数 经 常用 于 不 同系 统 间 的 比较 ， 因 此 如 何 为 系统 间 选 取 适 当 的 对 应 准则 就 变 得 
非常 重要 。 这 个 选择 会 直接 影响 在 系统 上 可 以 做 的 观测 和 实验 ， 以 及 在 怎样 的 抽象 层次 上 对 系 
统 进行 描述 。 

下 面 的 例子 说 明了 为 什么 在 多 个 系统 间 进 行 比较 时 ， 可 能 涉及 多 个 不 同 的 准则 。 考 虑 如 
图 8. 1 所 示 的 两 个 转换 系统 。 左 侧 的 系统 首先 执行 动作 a， 然后 选择 执行 动作 8 或 是 执行 动作 y. 
无 论 选择 执行 哪个 动作 ， 接 下 来 它 都 会 执行 *， 并 返回 到 系统 的 初始 状态 。 而 右 侧 的 系统 ， 在 执 
行动 作 "前 首先 做 一 个 非 确定 性 的 选择 。 根 据 选 择 结 果 的 不 同 ， 在 执行 动作 a 后 ， 要 么 只 允许 执 
行动 作 6， 要 么 只 允许 执行 动作 y。 之 后 ， 在 两 种 情况 下 ， 都 允许 执行 动作 = 并 返回 到 系统 的 初 
始 状 态 。 





图 8.1 两 个 简单 系统 


如 果 上 述 两 个 转换 系统 分 别 代表 两 台 自 动 贩卖 机 (自动 贩卖 机 在 进程 代数 中 经 常 被 当做 例 
子 )。 其 中 假设 a 表示 “ 付 25 美 分 ”、6 表 示 “ 选 择 购买 巧克力 ”、7 表示 “选择 购买 糖果 ”。 在 这 
种 情况 下 ， 用 户 会 更 借 向 于 选择 左 侧 系统 所 描述 的 机 器 。 因 为 当 付 过 25 美 分 后 ， 用 户 可 以 在 
“购买 巧克力 ”和 “购买 糖果 ” 间 做 出 选择 。 而 对 于 右 侧 系统 所 描述 的 机 器 ， 机 器 抢先 做 一 个 内 
部 的 非 确 定性 选择 ， 接 下 来 用 户 只 能 根据 这 个 选择 的 结果 来 购买 “巧克力 ”或 “糖果 ”当中 的 一 - 
种 。 但 如 果 图 8. 1 的 两 个 系统 表示 的 是 自动 邮票 售卖 机 ， 其 中 8 表示 售 出 一 枚 蓝 色 的 33 美 分 邮 
R, Hi y 表示 售 出 一 枚 红色 的 33 美 分 邮票 。( 不 考虑 机 器 卖 光 所 有 的 巧克力 、 糖 果 或 者 邮票 的 情 
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ho) 这 时 ， 用 户 并 不 关心 选择 蓝 色 的 邮票 还 是 红色 的 邮票 〈 除 非 该 用 户 是 集邮 爱好 者 ) ， 因 此 可 
以 认为 上 述 两 个 机 器 是 彼此 等 价 的 。 

进程 代数 最 初 用 于 并 发 系统 的 理论 研究 ， 仅 仅 采 用 了 最 小 化 的 符号 表示 。 这 使 它 在 对 实际 
的 系统 建 模 时 略 显 吃 力 ， 需 要 加 以 扩展 。 本 章 的 8. 9 节 详 细 介 绍 了 对 进程 代数 的 一 种 扩展 方法 。 
进程 代数 的 方法 对 系统 建 模 提供 了 新 的 途径 。 例 如 ， 可 以 利用 进程 代数 处 理 非 确定 性 和 并 发 性 
之 间 的 关系 。 

使 用 进程 代数 方法 描述 和 分 析 系 统 行 为 的 思想 是 由 不 同 的 学 者 分 别提 出 的 ， 其 中 以 Hoare 
[64], Milner [100] 和 Park [112] 最 为 著名 。 在 进程 代数 理论 以 及 一 系列 基于 进程 代数 理论 的 
系统 比较 和 系统 验证 工具 得 到 发 展 的 同时 ， 模 型 检验 技术 也 得 到 了 相同 程度 的 发 展 。 事 实 上， 在 
形式 化 方法 领域 中 有 一 个 有 趣 的 现象 ， 就 是 模型 检验 技术 在 北美 学 术 界 受到 更 多 的 关注 ， 而 进 
程 代 数 在 欧洲 得 到 了 广泛 的 支持 。 


8. 1 进程 代数 

在 进程 代数 中 ，agent (进程 实体 ) 是 对 一 个 系统 的 抽象 措 述 。 进 程 代 数 通常 给 出 对 agent 的 
语法 描述 。agent 在 这 里 被 描述 成 项 〈 类 似 于 一 阶 谓词 逻辑 中 的 项 )， 使 用 了 顺序 运算 符 、 并 发 组 
会 运算 符 以 及 非 确定 性 选择 运算 符 等 对 agent 的 行为 加 以 刻画 。 进 程 代数 的 语义 定义 描述 了 在 运 
算 过 程 中 agent 的 演化 《例如 前 进 或 是 变化 ) 过程。 各 个 运算 符 的 性 质 以 及 它们 之 间 的 相互 作用 
也 是 进程 代数 的 主要 研究 内 容 。 例 如 ， 研究 非 确定 性 选择 运算 符 是 否 满足 结合 律 与 交换 律 (参见 
4.9 节 )。 

进程 代数 的 另 一 个 重要 组 成 部 分 是 一 个 比较 准则 集 ， 即 agent 之 间 的 等 价 关 系 。 当 两 个 agent 
的 行为 非常 相似 以 至 于 我 们 不 需要 对 它们 加 以 区 分 时 ， 则 可 判定 这 两 个 agent 间 存 在 等 价 关系 。 
比较 (结果) 可 以 作为 一 种 正确 性 准则 ， 用 于 验证 某 系统 的 设计 与 规约 间 是 否 满足 给 定 的 关系 。 
已 有 工具 ， 如 Concurrency Workbench [31], 可 以 检验 在 给 定 的 比较 准则 下 两 个 agent 之 间 存 在 
某 种 关系 。 

在 进程 代数 中 通常 没有 显 式 的 系统 状态 的 概念 ， 以 映射 变量 到 数值 。 一 个 agent 本 身 就 可 以 
代表 系统 的 一 个 状态 ， 它 刻画 了 从 当前 点 开始 ， 经 过 执行 某 个 动作 ， 最 终 演化 为 另 一 aaa 
因此 ， 进 程 代数 更 关注 系统 的 动作 ， 而 不 是 系统 的 状态 。 设 Act 为 所 有 可 见 动作 组 成 的 集合 ， 巴 
于 Act 中 的 每 个 动作 a， 都 存在 着 一 个 与 之 对 应 的 互补 动作 (co-action) a， 满 足 3 二 a。 moe 
BF, a Ma 可 能 代表 一 次 同步 通信 过 程 ， 其 中 a 表示 接收 CHA) 动作 ,a 表示 发 送 (输出 ) 
动作 。 

除了 在 集合 Act 中 的 可 见 动作 以 外 ， 还 有 一 个 特殊 的 不 可 见 《内 部 或 者 静默 ) 动作 r，r 的 
互补 动作 即 为 z+ 本身 ， 即 Z=, 这 样 的 动作 = 可 以 表示 一 些 内 部 的 无 需 为 外 部 感知 的 动作 。 在 
图 8. 1 的 例子 中 ， 两 个 系统 的 可 见 动作 集 Act 均 为 (a, B y), 在 进程 代数 中 ， 某 些 等 价 关 系 需 
要 区 分 可 见 动作 和 不 可 见 动作 。 相 应 地 ， 当 采 用 实验 的 方法 比较 不 同 的 agent 时 ， 很 难 控 制 系 统 
中 的 不 可 见 动作 。 


一 个 事件 ， 记 作 E, —_E, 3 表示 agent E 通过 执行 动作 q 演变 成 了 另 一 个 agent E, , 其 中 ac 
ActU (r), WREE E, B24 E+E, ， 则 称 动作 a 是 在 agent E, 上 允许 的 enabled) ， 如 果 E> 


E, See E,, SR E, 通过 执行 动作 序列 oam ‘ai TUS En, ETBE E, -FE 
在 图 8.1 所 示 的 例子 中 ， 左 侧 的 转换 系统 表示 agent EF 可 以 通过 执行 动作 a 演化 为 另 一 个 


agent E"， 该 过 程 所 对 应 的 事件 为 一 >~E'。 而 在 右 侧 的 转换 系统 中 ， agent F 通过 执行 动作 a 演 
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化 为 Fi 或 F, 中 的 一 个 ， 该 过 程 所 对 应 的 事件 为 下 -一 Fi 和 下 ->F,， 其 中 左边 的 F, 只 能 执行 
动作 8， 而 右边 的 F, 只 能 执行 动作 y. 
与 转换 系统 的 模型 类 似 ， 可 以 将 agent E 的 执行 定义 为 一 个 最 大 序列 (如 可 能 是 一 个 无 限 序 


Qz Ba-1 


列 或 是 不 可 扩展 的 有 限 序列 ) ESE, —>E, 一 >… 了 之 EE,， 使 得 对 任意 的 >l, E, “E, 是 一 个 
事件 。 一 个 执行 是 有 限 的 ， 仅 在 其 对 应 的 序列 最 后 的 agent 上 必然 不 存在 可 执行 的 动作 。 同 样 ， 
可 以 定义 一 个 图 来 描述 agent E， 图 中 的 节点 表示 FE 所 能 演化 出 的 agent， 图 中 的 边 表示 事件 ， 用 
动作 来 标记 。 在 这 张 图 中 出 现 的 agent Hi EREE (configuration) 。 

一 个 扩展 事件 描述 一 个 agent 如 何 通过 动作 + 的 一 个 《可 能 为 空 》 序 列 ， 紧 跟着 一 个 或 零 个 
可 见 动作 以 及 动作 r* 的 一 个 〈 可 能 为 空 ) 序列 ， 来 进行 演化 。 对 一 些 agent G, ，…，G,， 当 存在 
不 可 见 动作 的 一 个 〈 可 能 无 关 紧 要 的 ) 序列 


G— G =G, “> G, G' 
时 ， 我 们 表示 为 G 一 >G'。 WA, 扩展 事件 E=, 已 ' 表 示 存 在 某 agent F 和 F' 使 得 








E= F =, F! -SE 
例如 ， 如 在 图 8. 1 右边 ， 有 F. => F IG, => Fi ERRA agent EE 可 以 执行 无 限 多 个 内 部 


动作 这 样 一 个 事实 。 这里， 我 们 称 巨 是 发 散 的 《〈diverge) 。 理 解 扩展 事件 的 一 种 方法 是 把 它 看 成 
是 一 个 实验 〈experiment) 中 的 最 小 可 见 部 分 。 考 虑 一 个 不 能 看 到 动作 + 的 系统 的 观察 者 ， 则 


F, =Š, FRG, > F, 表示 关于 这 个 系统 所 能 得 到 的 外 部 观察 。 


8.2 通信 系统 的 演算 

本 章 使 用 由 Milner [100] 定义 的 CCS (Calculus of Communicating Systems》 的 语义 和 语法 
(除了 用 并 发 组 合 “ 上 ”代替 了 “|” 之 外 )。 令 a 为 AczU 17) 中 任意 的 一 个 元 素 ， RW Act 的 一 
DFR, f 为 一 个 动作 到 动作 的 映射 ，C 表示 一 个 agent BH, agent 可 以 用 BNF 定义 如 下 ， 

agent **= a. agent |agent + agent |agent || agent |agent \ R |agemt[ f] | agent |C | 0 

在 CCS 的 各 个 运算 符 中 ， 限 制 符 C“ A HARM, HoH CCI, BR 
是 顺序 前 绥 〈“. ”)， 然后 是 并 发 组 合 JD, 最 后 是 非 确定 性 选择 (“十”)。 需 要 注意 的 是 前 
组 运算 符 “. ”并 不 表示 顺序 连接 (如 编程 语言 中 的 “;”)， 通常 对 于 两 个 进程 代数 表达 式 E. 
和 E,， 不 能 写成 E,. E: 但 是 a. E, 这 种 写法 是 正确 的 ， 其 中 a 是 一 个 动作 。 我 们 用 agent “0” 
表示 终止 ， 它 不 允许 任何 动作 (MED. 通常 在 描述 一 个 agent 的 时 候 我 们 不 会 使 用 如 “. 0” 
RA“. Ol- 0)” 的 表述 方式 。 

agent 的 语义 通过 结构 化 操作 语义 (Structural Operational Semantics, SOS) 规则 来 描述 ， 很 
像 是 证 明 规 则 。 这 乍 看 上 去 有 些 奇 怪 。 比较 在 一 阶 谓词 逻辑 中 ， 公理 和 推理 证 明 是 由 语法 对 象 构 
成 的 ， 而 逻辑 语义 的 证 明 是 通过 产生 正确 的 公式 进行 的 。 类 似 地 ，Hoare 证 明 系 统 ( 见 7.4 节 ) 
也 可 以 被 看 做 是 程序 的 公理 语义 表示 。 在 证 明代 数 中 ， 用 证 明 规 则 来 描述 一 个 agent 的 演化 过 
程 ， 我 们 可 以 通过 它 来 验证 一 个 事件 的 性 质 ， 即 可 以 通过 推理 证 明 得 到 一 个 agent 演化 为 另 一 个 
agent 所 执行 的 动作 。 


8.2.1 HENA 


& a€ActU {rt}, EX—* agent, Ii) agent a. ERR: 首先 执行 一 个 动作 a， 接 下 来 的 动作 
由 agent EE 描述 。 亦 可 用 如 下 公理 表示 ; 
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a EE (8.1) | 
可 以 用 上 述 公 理 去 验证 如 下 事件 : 
a (B ID +>?) —> 8. Ol 9) + y 


8.2.2 选择 

执行 ETF BUA E 和 下 之 间 做 非 确定 性 的 选择 ， 然 后 根据 所 选 的 agent 执行 接 下 来 的 操作 
来 完成 。 可 用 如 下 两 条 SOS 规则 表示 ， 它 们 分 别 对 应 选择 根据 五 或 根据 下 执行 的 情况 。 

E—+E' F—, F! 
EF >E E+F—+F' 
我 们 可 以 用 动作 前 缀 公理 去 验证 如 下 事件 : 
BOD Hs 5 (8. 2) 
继而 ， 我 们 可 以 用 事件 (8.2) 作为 前 提 ， 利 用 左 侧 选 项 的 SOS 规则 来 验证 如 下 事件 : 
BSB + ya lš 

注意 在 这 种 情况 下 ， 从 8. Có || O+7 Ar 8 意味 着 选择 运算 符 左 侧 的 部 分 被 选中 ， 执 行 y 则 意味 
着 选择 运算 符 右 侧 的 部 分 被 选中 。 但 是 对 于 agent 8 6 十 B.Y 来 说 ， 执 行 8 则 可 能 对 应 着 选中 左 侧 
或 右 侧 部 分 的 两 种 情况 。 I 
8.2.3 并 发 组 合 


agent E || F X agent 已 与 agent 下 的 并 发 组 合 。 可 以 按 如 下 三 种 情况 执行 ; 
。 agent E 执行 某 个 动作 aEAczUf(r)，agent 下 保持 不 变 ， 





E—>E' 
E| F-E" || F 
° agent 下 执行 某 个 动作 a C AczU (z), agent 已 保持 不 变 ， 
F—>F' 
E| F-E | F 
` agent 巨 执行 某 个 动作 esE Act, T agent FAT EMEA, 结果? 已 与 下 在 这 个 动 
作 上 实现 同步 ， 而 这 个 同步 执行 用 不 可 见 动作 + 标记 ， 
E+E! FP! 
E| FE || F 
REIT LA FA SOE ROA BE EE FE 


6 
9 一 ~0. (8. 3) 
和 


< 人 
6 一 ~0 (8. 4) 
因此 ， 把 事件 (8.3). (8.4) 作为 后 一 个 并 发 组 合 规则 的 前 提 ， 我 们 可 以 得 到 事件 ， 


315 一 010 (8.5) 
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8.2.4 限制 符 
用 某 个 动作 集 RECAct 来 限制 agent EE， 不 允许 从 EE 执行 一 个 动作 序列 得 到 的 任意 agent 执行 
尺 中 的 任意 动作 或 其 相应 的 互补 动作 。 
E—>E',wa¢R 
E\R->E'\R 
我 们 用 agent 变量 C 表示 agent ó || 86， 现在 我 们 可 用 第 一 个 并 发 组 合 规则 中 的 事件 (8.3) 得 
到 事件 : 
c-o lš 
上 述 公式 表示 并 发 agent C 可 以 与 一 个 外 部 的 互补 动作 8 交互 ， 作 为 内 部 动作 6 和 5 同步 执 
行 的 替换 。 同 理 ， 我 们 可 以 证 明 


ces lo 
Alb, agent C 可 以 与 外 部 动作 6 或 6 交互 。 
我 们 希望 避免 上 述 情况 的 发 生 ， 只 希望 和 5 了 作为 内 部 动作 在 agent C 的 范围 内 进行 交互 ， 
而 对 外 不 可 见 。 我 们 可 以 通过 使 用 并 发 agent CN (8) 来 实现 。 这 是 一 个 对 外 隐藏 动作 3 (及 其 互 
补 动作 9) 的 agent， 对 于 这 样 的 agent 不 能 出 现 标记 为 8 或 5 动作 的 事件 ， 
我 们 发 现 利用 第 三 条 并 发 组 合 规 则 ， 可 以 得 到 C0 || 0 (参见 式 (8. 5))。 在 单 事件 集合 (8) 
上 的 限制 使 得 6 和 5 之 间 的 交互 只 能 在 agent C 的 内 部 进行 ， 因 为 这 个 限制 只 是 针对 并 发 agent C 而 不 
针对 C 内 部 的 并 发 组 件 。 当 交互 发 生 时 ， 这 个 8 和 5 的 联合 动作 在 外 部 被 标记 为 不 可 见 动作 +， 内 部 
动作 z 不 应 该 ， 也 不 会 被 隐藏 起 来 。 当 我 们 把 事件 (8, 5) 作为 限制 规则 中 的 前 提 时 ， 可 以 得 出 以 下 结论 
CN 一 =010N18) (8. 6) 
注意 ， 在 这 里 t 是 C\ {6) 上 唯一 允许 的 动作 。 
8.2.5 重 标记 
& m: Act->Acti 为 一 个 映射 WH ma) Sma, Bl m Ke 映射 到 68， 它 也 将 # 映 射 到 
8 (Ask, MR m(a) 二 B， 那 么 m(a) 二 8)。 所 以 ， 用 Elm] 表示 重 标 记 动 作 。 
E-+E' 
E[mJ —” 2, E'm] 
举 一 个 简单 的 例子 ， 考 虑 映射 m 一 {aHy>8，p8hya}。 用 事件 a —2>0 作为 重 标记 规则 的 前 所， 


我 们 可 以 得 到 事件 dm om] 作为 结论 。 通 常 为 了 方便 ， 将 重 标记 写作 E[z /y, my, e, 
z./y,]， 表 示 将 z, BINH ya, HE z 映射 为 »， 以 此 类 推 。 在 方 括号 中 没有 出 现 的 动作 映射 到 这 个 
动作 本 身 。 


8.2.6 等 式 定 义 


目前 所 定义 的 CCS 还 不 足以 对 有 无 限行 为 的 agent 进行 描述 。 为 创建 这 样 的 agent，CCS 也 
支持 在 等 式 集合 上 的 递归 定义 。 一 个 agent 变量 因此 可 用 包含 其 名 字 的 术语 来 定义 。 
等 式 定义 用 如 下 公式 表达 ， AAE, j AX agent ÆR, TÑ E Ec agent。 表 达 式 下 或 许 会 包 
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括 agent 变量 A。 多 个 agent 变量 可 以 通过 互相 引用 定义 ， 例 如 ，A 人 Au 了 和 B 人 ep8A4。 这 时 ，a- 
gent A 可 通过 执行 动作 a BRM agent B; agent B 可 通过 执行 动作 8 变 成 agent A， 以 此 类 推 。 
对 于 图 8. 1 中 的 两 个 系统 ， 左 侧 的 系统 可 以 用 如 下 的 公式 定义 : 
E Ag. E' 
E' AB r. E+y r, E 
等 价 地 ， 可 用 一 行 表示 为 
E À a. (8. z, E + y. z. E) 
注意 ， 这 里 中 间 agent 变量 五 在 后 面 的 表示 中 被 消去 了 。 图 8. 1 右 侧 的 系统 可 以 定义 为 ; 
FA a. F. +a. F, 
F, g. G. 
FA BG, 
G.A. r. F 
G:A z, F 


等 价 地 ， 可 用 一 行 表示 为 
F Á a. B. <. F + a, y. z F 

要 谨慎 地 使 用 递归 定义 。 例 如 ,考虑 AA. B 和 BAA 的 情况 。 如 果 我 们 把 这 些 等 式 用 于 定 
义 ， 我 们 只 知道 A 与 BB 是 相同 的 ,但 是 对 于 它们 的 行为 没有 任何 限制 。 为 了 避免 这 种 情况 的 发 
生 ， 对 于 等 式 定义 形式 通常 加 以 一 些 限制 ， 如 定义 的 右边 必须 以 一 个 前 缀 动作 或 者 是 一 个 非 确 
定性 选择 为 开头 ， 其 中 每 个 组 件 都 带 有 一 个 前 缀 动作 。 

© ERR agent, 定义 ALE HTH OHM WF : 

E E.A A E 
ASE 

将 等 式 和 并 发 组 合 结合 起 来 ， 我 们 可 以 定义 出 包含 无 限 个 并 发 组 件 的 agent。 例 如 ， 令 

AZ || 8. A 表示 agent A 可 以 通过 执行 n 次 8 动作 而 分 烈 成 ntl 个 并 发 组 件 ， 其 中 个 并 发 组 件 





仅 执行 动作 a 并 终止 ， 而 第 n 十 1 个 并 发 组 件 继续 分 裂 成 两 个 并 4 
发 组 件 。 此 次 执行 的 前 缀 如 图 8.2 BAR. 8 

下 面 以 事件 <A 全 a | Ca | 4) 的 推导 为 例 ， 来 说 明 这 个 序 i 
列 是 如 何 形成 的 。 l 

(GD pASa (an E 281 af 

8 . NH Ca Nil ll A) 
(2) a|. A. J| A [并 发 组 合 和 (1) 
B ， | 

(3) Aa || A [等 式 定义 和 (2)]] aNilll CaNi ll Ca.Ni LA) ) 

(4) all Aba || (e || AD [并 发 组 合 和 (3)] ‘2 

如 果 一 个 agent 能 演化 为 有 限 多 个 不 同 的 agent, 那么 它 表 Y 


未 一 个 有 限 状态 系统 ， 否 则 它 表示 的 就 是 一 个 无 限 状态 系统 。 Me? RAR Adel aA 
BAR, agent ALa | BA 所 表示 的 是 一 个 无 限 状态 系统 。 中 的 
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8.2.7 agent0 


没有 与 agent 0 相对 应 的 公理 或 者 规则 ， 因 此 ， 这 样 的 agent 上 不 允许 任何 动作 ， 也 无 法 演 
化 成 其 他 的 agent。 


图 8.3 为 agent (2 (6 || 5 十 7 的 示意 图 。 利 用 a. (B. (ó||ó) +y 
前 面 提 到 的 公理 和 证 明 规 则 ， 某 些 事件 已 经 得 到 验证 。 a 
因为 没有 使 用 等 式 定 义 ， 所 以 在 该 agent 上 不 会 有 无 限 BAD ty 
执行 ， 相 应 地 ， 图 中 也 不 会 出 现 环 。 8 ; 
8.2. 8 传 值 agent alld 

; 

为 了 描述 更 实际 的 系统 ， 动 作 和 agent 变量 可 以 用 4 ° 
参数 表示 。 例 如 ， 对 于 agent alx). PH HRA MA— z 015 oll0 
MARA x 的 操作 ， 而 agent aly). QQ 首先 要 执行 将 > ó 


的 值 输出 的 操作 。 通 过 这 样 的 一 次 交互 在 agent P 中 实 ollo 
MT 5j y 的 值 绑 定 。 


图 8.3 a. (8. Cl 5) +y) HRB 
例如 ， 对 于 如 下 agent: 


buy (x). Cinsure (x). (drive( x))) 
在 这 个 例子 中 ， 输 入 某 个 值 给 *， 接 着 先后 在 动作 和 sure(z) Mdrive(x) 中 将 这 个 值 输出 。 
更 多 关于 传 值 进程 代数 的 信息 请 参见 [21]. 


8.3 FRG. Dekker 算法 


下 面 我 们 将 用 CCS agent 来 表示 在 4. 6 节 中 提 到 的 Dekker 互 斥 算法 。 
首先 是 关于 状态 在 进程 代数 中 的 表示 问题 。 在 CCS 中 ， 一 个 状态 就 是 一 个 agent， 即 一 个 可 


演化 成 其 他 表达 式 的 表达 式 。 为 了 这 样 表 RUK 

示 变 量 的 值 ， 首 先 要 为 每 个 具有 两 个 可 能 
值 (如 c1，c2 和 turn) 的 变量 构造 一 个 具 LCP CD CD ser? 
有 两 个 状态 的 自动 机 。 这 些 状态 分 别 对 应 3-TCI sci 


变量 的 值 。 图 8. 4 为 变量 cl 所 对 应 的 自动 
机 ， 该 自动 机 使 用 了 如 下 的 互补 动作 。 

sez_0_Cl: 将 cl 的 值 设 为 0。 自 动机 如 图 8.4 表示 一 值 变量 1 的 自动 机 
果 不 在 状态 C1 .0 GHR cl HO) 上 ， 则 跳 转 到 该 状态 上 。 

set_1_Cl: 将 cl 的 值 设 为 1, 自动 机 如 果 不 在 状态 Cl_1 GB cl 为 1) E, 则 跳 转 到 该 状 
ASE. I 

is_0_C1: 这 个 动作 是 状态 ClO WAWR, CHERERE c1 的 值 是 否 为 0。 

is_1_CIi: 这 个 动作 是 状态 C1 1 上 的 自 循环 ， 它 的 作用 是 检查 cl 的 值 是 否 为 1。 

cl 所 对 应 的 自动 机 被 实现 为 从 Cl_1 开始 的 agent。 这 个 agent 可 以 与 使 用 上 述 互 补 动作 所 对 应 
的 各 种 动作 的 agent XH.. agent Cl 1 可 以 通过 执行 动作 set_0_CI 演 化 为 agent C1_0, agent Cl1 0 可 
以 通过 执行 动作 set_1_CI 演 化 为 agent Cl1_1。 除 此 之 外 ， 另外 还 有 代表 进程 Pl 或 者 P2 的 agent 可 以 
将 cl 设置 为 0 或 1， 或 者 在 cl 的 某 个 值 上 等 待 ， 直 到 其 改变 。 

我 们 定义 如 下 三 个 进程 实体 〈agent) ， 分 别 表示 cl, c2, turn 三 个 变量 。 


set_l_C) 


136 + 第 8 章 进程 代数 与 等 价 关 系 


cl 
C1_0 A is_0_C1?. C1_0 + 
set_1_C1. C1_1 + 
set_0_C1. C10 
c2 
C2_0 A is_0_C2?. C20 + 
sr 1 2. C2_1+ 
set 0 C2.C2 0 
turn 


TURN_1A 
is_l1_Turn?. TURN_1+ 
set_2_Turn. TURN_2+ 
set 1 Turn. TURN 1 


C1_1 & is_1_C1?. C1_1 + 
set_O_C1. C1_0 + 
set_1_ C1. C1_1 


C2 1 A i 1 C27. C2_14+ 
set_0_C2. C2_0 + 
se 1 C2. C2 1 


TURN 2 A. 
is_2_Turn?. TURN_2 + 
st_l_Turn. TURN_1+ 
set_2_ Turn. TURN _2 


接 下 来 定义 进程 P1 和 P2。 给 这 些 进程 编码 有 点 棘手 ， 因 为 CSS 中 没有 顺序 组 合 的 运算 
符 。 这 里 根据 变量 值 所 做 出 的 每 个 选择 用 选择 运算 符 表 示 。 每 个 选择 都 有 一 个 前 缀 动作 。 例 
如 ， 当 我 们 查看 cl 的 值 是 0 还 是 1 的 时 候 ， 我 们 在 动作 is_0_C1? 和 动作 is_1_C1? 中 作出 
选择 ; 动作 criticall 和 动作 critical? 表示 两 个 进程 在 临界 区 内 执行 的 动作 ; 类 似 地 ， 动 作 
noncriticall 和 动作 noncritical2 表示 两 个 进程 在 临界 区 外 部 执行 的 非 互 斥 动作 。 


is_0_C2? ,(is 2_ Turn? . set_1_Cl. INNERMOST1+ 


is_1_Turn? . INSIDELOOP1) 


Pi 
Pl£noncriticall. set_0_C1. INSIDELOOP1 
INSIDELOOP1£is_1_C2? .REST1+ 
INNERMOST1£is_2_Turn? . INNERMOST1+ 
is_1_Turn? . set_0_Cl. INSIDELOOP1 
RESTicriticall. set_1_Cl. set_2_ Turn. P1 
P2 


P2&noncritical2. set 0_C2. INSIDELOOP2 


INSIDELOOP24is_1_Cl? . REST2+ 


is_0_C1? . (is_1_Turn? . set_1_C2. INNERMOST2+ 


is_2_Turn? . INSIDELOOP2) 


INNERMOST2£is_1_Turn? . INNERMOST2+ 
is_2_Turn? . set_0_C2. INSIDELOOP2 


REST2Acritical2. set_1_C2. set_1_Turn. P2 
图 8.5 为 并 发 agent P1 的 示意 图 ， 同 样 可 得 agent P2 (只 需 做 一 些 如 将 C1 换 成 C2 的 简单 
替换 )。 图 8. 5 中 标记 的 节点 与 上 面 所 定义 的 agent 变量 相对 应 。 
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| noncriticall 


set_0_C1 


INSIDELOOPI 


set_2_Turn 






set 0_C1 











is_2_Turn? 


图 8.5 agent P1 


Dekker 算法 


在 很 多 CCS 所 描述 的 系统 中 ， 某 些 动作 外 部 观察 者 可 能 不 感 兴趣 。 因 此 对 这 样 的 动作 要 加 
以 限制 。 这 不 仅仅 是 为 了 进程 代数 描述 的 简洁 性 ， 也 是 为 了 定义 的 安全 性 ， 即 防止 一 些 外 部 环境 
或 者 其 他 进程 通过 一 些 本 来 只 应 在 内 部 执行 的 动作 来 与 内 部 的 进程 进行 交互 。 令 及 为 如 下 动作 
RE: 

{is_0_C1l?,set 0_ Cl,is 1 Cl?,set_ 1 Cl,is 0 C2?,set_0_C2,is_1_C2?,set_1_C2,is_1 Turn?, 

is 2 Turn?,set_1_Turn?,set_2_Turn} 
则 Dekker 算法 可 以 用 进程 代数 表示 为 ， 
| DEKKERA (C1_1 || C2_1 || TURN_1 || P1 || P2\R 


练习 8.3.1 用 传 值 agent FIR Dekker 算法 。 
练习 8. 3.2 用 进程 代数 为 4.15 节 中 提 到 的 通信 协议 建 模 。 
练习 8.3.3 用 进程 代数 为 4.6 节 中 提 到 的 Dijkstra 临时 互 斥 算法 建 模 。 


8.4 建 模 问题 

可 以 用 Dekker 算法 的 例子 来 说 明 系 统 建 模 中 存在 的 一 些 问题 。 

考虑 在 4. 6 节 所 提 到 的 并 发 进程 的 wait 语句 ， 如 wait until turn 王 1。 这 种 建 模 方式 对 应 忙 等 
待 (busy waiting): 进程 P1 循环 不 断 地 在 INNERMOST 用 动作 is_l1_Turn? 和 1 2 Turn? 检 
Æ turn 的 值 。 如 果 turn 值 为 1， 就 继续 将 cl 的 值 通过 执行 动作 set_O_C1 设 为 0; 否则 返回 IN- 
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NERMOST1。 实 际 上 ， 也 可 以 采用 另外 一 种 等 待 方式 : 进程 Pl 首先 将 自己 挂 起 ， 当 P2 执行 动 
作 将 turn 的 值 变 为 1 时 ， 由 操作 系统 唤醒 P1。 运 用 这 种 建 模 方法 ， 就 可 以 去 掉 INNERMOST! 
上 标记 为 is_2_Turn? 的 自 循 环 ， 其 结果 可 以 用 下 面 的 表达 式 表 示 : 
INNERMOST] & is_1_Turn?. set_0_Cl. INSIDELOOP1 

这 时 ， 在 INNERMOST 上 不 存在 动作 is_1_Turn? 之 外 的 选择 。 用 忙 等 待 的 方式 实现 的 
Dekker 算法 可 能 会 存在 INNERMOST] 上 的 永久 等 待 ， 而 在 上 述 改进 版 本 中 则 不 会 出 现 永久 等 
待 的 情况 ， 因 为 P1 将 自己 挂 起 直至 turn 的 值 变 为 1。 

对 非 临界 区 建 模 也 存在 相似 的 问题 。 在 将 4.6 节 的 算法 翻译 成 进程 代数 的 过 程 中 ， 非 临界 区 
的 操作 被 描述 成 一 个 单一 的 动作 noncriticall 或 noncritical2。 然 而 ， 互 斥 算法 在 一 个 进程 决定 永 
远 停留 在 临界 区 内 的 情况 下 也 应 该 有 效 。 为 此 ， 我 们 将 表达 式 Pl (以 及 相应 的 P2) 修改 为 

P1 A noncriticall. P1 + set_0_Cl. INSIDELOOP1 (8. 7) 

上 述 两 种 忙 等 待 循环 不 应 该 延迟 其 他 进程 进入 临界 区 。 但 是 ， 这 个 属性 的 简单 验证 (如 使 
用 某 些 模型 检验 工具 或 者 进程 代数 工具 ) 却 可 能 得 出 进程 不 能 保证 可 以 进入 临界 区 的 结论 。 造 
成 这 种 结果 的 原因 是 验证 工具 通常 对 执行 不 做 任何 公平 性 假设 。 如 果 不 做 任何 公平 性 假设 ， 验 
证 工具 可 能 会 返回 如 下 反例 由 于 P1 一 直 处 于 INNERMOST 循环 中 ， 因 此 P2 也 许 无 法 进 
人 临界 区 。 此 时 ，zurn 的 值 是 2。 在 此 情况 下 ，P1 无 限 地 执行 is_l Turn? 动作 。 因 为 没有 公 
平 性 假设 ,进程 P2 无 法 进入 或 者 离开 临界 区 ， 进 而 无 法 给 turn 赋值 为 1， 使 Pl 走出 INNER- 
MOSTI 循环 。 

弱 公 平 性 假设 可 以 保证 在 INNERMOST) 循环 中 的 进程 Pl 等 待 turn 变 为 1 的 时 候 ， 进 程 
P2 可 以 继续 下 去 并 将 turn 值 赋 为 1， 以 确保 P1 可 以 走出 循环 。 同 理 ， 在 弱 公 平 性 假设 下 ， 可 以 
保证 进程 P2 在 满足 条 件 的 情况 下 可 以 进入 临界 区 ， 即 使 P1 一 直 在 非 临界 区 内 (在 式 (8.7) 的 
另 一 种 定义 下 ) 。 

但 是 很 遗 司 ， 有 些 验证 工具 缺乏 强制 保证 整体 公平 性 的 能 力 ， 或 者 包含 有 规定 的 、 不 符合 用 
户 需 求 的 公平 性 ， 这 是 因为 公平 性 的 假设 会 增加 验证 的 复杂 度 [78]。 事 实 上 ， 原 始 的 CCS 语义 
并 没有 做 任何 公平 性 假设 。 我 们 仍 可 以 利用 一 个 没有 公平 性 保证 的 工具 去 验证 某 个 时 序 属 性 p。 
无 须 预 先 建立 公平 性 假设 ， 我 们 可 以 在 没有 公平 性 假设 的 条 件 下 验证 属性 y>p。 


练习 8. 4.1 即使 消除 掉 本 节 讨 论 的 两 个 忙 等 待 循环 ， 仍 需要 公平 性 以 便 保 证 进程 最 终 一 定 
能 进入 临界 区 ， 当 它 希望 这 样 做 时 。 举 一 个 出 现 上 述 问 题 的 场景 。 一 种 找到 这 种 场景 的 方式 是 使 
用 模型 检验 或 者 进程 代数 工具 〈 在 第 6 章 和 本 章 最 后 都 列举 出 了 一 系列 上 述 工具 )。 提 示 : 上 述 
情况 中 包含 了 动作 is_0_C2? Fl is_1_Turn?, 


8.5 agent 之 间 的 等 价 性 


agent 之 间 的 比较 很 有 用 ， 例 如 ， 当 其 中 一 个 agent 表示 一 个 系统 或 者 一 个 实现 ， 而 另 一 
个 表示 某 种 抽象 的 规约 时 。 比 较 对 于 说 明 一 个 系统 是 另 一 个 的 精 化 也 很 有 用 。 通 过 逐步 构建 
更 加 细 化 的 系统 来 完成 开发 时 ， 这 是 一 个 重要 的 衡量 标准 。 正 如 我 们 将 看 到 的 ， 有 不 止 一 种 
方法 来 比较 agent， 选 取 正 确 的 比较 标准 是 非常 重要 的 。 不 同比 较 标准 之 间 的 差异 可 能 极其 
细微 ， 下 面 的 例子 可 以 充分 展示 这 一 点 。 至 于 什么 是 合适 的 比较 标准 ， 目 前 还 没有 达成 广泛 
的 共识 。 

每 个 比较 标准 都 可 以 用 agent 之 间 的 等 价 关系 给 出 ， 它 是 一 种 自 反 的 、 对 称 的 、 传 递 的 关系 
( 见 3. 工 节 )。 因 此 ， 显 示 每 对 逐步 细 化 的 系统 间 的 等 价 性 保证 了 第 一 个 〈 最 粗略 的 ， 通 常 是 规 
约 ) 和 最 后 一 个 〈 最 细节 化 的 ， 通 常 是 实现 ) 系统 之 间 的 等 价 性 。 
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可 以 在 不 同 的 等 价 之 间 形 成 一 种 层次 《一 种 偏 序 )。 如 果 任 意 两 个 agent 根据 等 价 关 
R “==, RSH, ANRESHKA “=.” BESTH, BASH “==,” LSet “s=,” Rae 
精 化 ， 反 之 则 不 和 需要。 我 们 根据 van Glabbeek [53] 展示 了 他 的 进程 代数 等 价 关 系 间 的 部 分 
层次 。 
8.5.1 迹 等 价 


在 进程 代数 中 ， 迹 (trace) 是 指 可 以 从 一 个 给 定 的 agent 执行 的 一 个 动作 的 有 限 序列 .8 令 
TCE) AW agent E 执行 的 所 有 迹 的 集合 。 那 么 ， 当 T(E) 二 TC(F) 时 ,与 FF 是 迹 等 价 的 (trace 
equivalent) ， 表 示 为 E=, F , 

迹 等 价 的 定义 有 几 个 不 同 的 变 体 。 有 一 种 可 能 是 同时 考虑 有 限 和 无 限 的 迹 。 可 以 表明 如 果 五 
和 下 是 有 限 状 态 系统 ， 那 么 T(E) 二 TCF) 也 能 说 明 巨 和 下 的 无 限 迹 的 集合 是 一 样 的 。 证明 在 下 
一 段 中 给 出 ， 读 者 可 以 安心 跳 过 。 

假定 TCE) = TF), SRM EMF 以 及 它们 在 树 中 的 展开 所 得 到 的 分 支 结构 。 在 这 些 展 开 
中 , E#IF 是 各 自 的 根 ， 每 个 节点 表示 通过 执行 从 相应 的 根 到 该 节点 的 路 径 上 的 迹 所 得 到 的 一 
个 agent, Be E #— 4" F 所 没有 的 无 限 迹 so。 因 为 T(E) = T(F), FHAE 所 拥有 的 每 一 个 o 
的 有 限 前 组。 我 们 将 从 o 的 前 缀 构造 一 棵 新 的 以 三 为 根 的 机 :这 棵 树 包 含 agent F, FI o H 
的 第 一 个 动作 后 所 得 到 的 那些 agent (注意 ， 因 为 非 确定 性 的 原因 ， 可 能 有 多 个 从 下 执行 w 的 
方式 )， 从 这 些 agent 再 执行 第 二 个 动作 所 得 到 的 那些 agent， 依 次 类 推 。 这 是 一 棵 无 限 树 ， 因 为 
对 于 无 限 的 有 无 限 多 的 前 级 。 每 一 个 节点 有 有 限 多 个 直接 后 继 ， 因 为 这 是 一 个 有 限 状 态 系统 。 
根据 Konig 推论 〈 见 2. 3 节 )， 必 定 存 在 某 些 始 于 新 构建 的 树 的 根 下 的 无 限 序列 。 根 据 该 构造 ， 
这 个 序列 必定 被 标记 为 a。， 从 而 形成 矛盾 。 

如 果 进 程 代数 agent 被 重新 定义 为 允许 无 限 多 的 直接 后 继 〔 例 如， 通过 允许 一 个 无 界 的 、 参 
数 化 的 非 确 定性 选择 运算 符 )， 那 么 迹 等 价 就 不 意味 着 含有 同样 的 无 限 迹 的 集合 。 由 于 无 限 多 个 
后 继 的 可 能 性 ，K5nig 推论 在 这 种 情况 下 不 成 立 。 更 进一步 ， 甚 至 在 允许 有 限 多 个 后 继 的 情况 
下 ， 如 果 对 执行 加 上 额外 的 公平 性 约束 ， 两 个 agent 之 间 的 迹 等 价 也 不 意味 着 它们 有 同样 的 无 限 
序列 的 集合 。 这 些 约束 可 以 〈 比 如) 采用 某 种 特定 的 配置 强制 每 次 执行 无 限 多 次 地 通过 ， 类 似 于 
Büchi 自动 机 中 的 接受 条 件 。 

号 一 种 版 本 的 迹 等 价 要 求 在 有 同样 的 迹 集合 的 基础 上 ，agent 要 有 同样 的 终止 迹 的 集合 ， 即 
有 限 迹 不 能 以 一 个 被 允许 的 动作 扩展 。 这 样 带 来 了 一 种 比 迹 等 价 要 好 的 等 价 ， 


8.5.2 失败 等 价 


agent E 的 一 个 失败 是 指 一 个 对 《〈c，X)， 其 中 ，c 是 这 样 的 一 个 迹 ， MA EREA o BRIE 
个 agent F, X 中 的 每 一 个 动作 对 于 下 都 不 被 允许 。 注 意 ， 失 败 的 定义 多 许 不 在 X 中 的 动作 对 于 
下 也 是 不 被 允许 的 。 该 定义 的 直接 后 果 是 ， 如 果 (0 X E E B JR, B YS X, WA (ç, 
O 也 是 五 的 一 个 失败 。 需 要 注意 的 是 即使 (o X) BFW TRI, AMIR EH, R 
们 也 可 能 根据 = 从 巨 开始 执行 相应 动作 并 到 达 另 外 一 个 agent F' 关 F， 从 此 处 可 以 执行 XX 中 的 菜 
些 动作 。 令 Fail(E)% agent 的 失败 的 集合 。 当 Fail(E)= Fail Fit, RAE m F BARE 





O xk Vay fe Sar R, 因为 此 处 的 迹 定义 不 同 于 并 发 理论 中 常用 的 由 Mazurkiewicz [96] 给 出 的 迹 定 义 。 
Mazurkiewicz 迹 在 字母 表 和 该 字母 表 上 的 二 元 关系 之 上 定义 ， 这 个 二 元 关系 被 称 为 独立 关系 。Mazurkiewicz 迹 
是 一 个 包 会 这 样 序列 的 最 大 集合 ， 这 些 序列 是 通过 反复 地 计算 单词 中 独立 的 字母 而 得 到 的 。 
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价 的 ， 定 义 为 E=, F. 

容易 看 出 失败 等 价 是 迹 等 价 的 一 个 精 化 ，FaizZ(E) 包 含 所 有 的 对 (og， 名 )， 其 中 oa 是 EE 的 一 个 
gk. Bik, Faill D) = Fail DAE TOSTE). 

接 下 来 的 例子 将 展示 在 迹 等 价 下 等 价 的 agent 在 a 
失败 等 价 中 有 所 区 别 。 图 8. 6 展示 了 两 个 含有 同 
样 的 迹 的 agent 〈 甚 至 有 相同 的 终止 迹 )， 但 是 它 
们 的 失败 有 所 不 同 。 左 边 的 agent a (8 十 力 在 执行 
a 后 总 是 可 以 执行 y。 右 边 的 agent a B+ 
a 《8 十 力 有 失败 (ae，{7y}》)》， 因 为 它 可 以 选择 左 图 8.6 agent a. (BHM a 8+-a. (B+ 
边 的 a 分 支 ， 从 该 分 支 它 不 能 执行 y. 

为 了 获取 为 什么 这 种 区 别 可 能 很 重要 的 直观 感受 ， 假 定 这 两 个 agent 描述 的 是 简单 的 售 货 
机 ， 它 们 的 动作 如 下 : 

a 投入 一 枚 硬币 。 

B 选择 一 块 巧克力 。 

y 选择 一 颗 糖 。 

机 器 a. (8 十 7) 允许 使 用 者 在 投入 一 枚 硬币 后 在 一 块 巧克力 和 一 颗 糖 之 间 做 出 选择 。 机 器 
a Bra. 《87 在 硬币 投入 后 做 的 是 非 确定 性 选择 。 后 面 机 器 的 一 种 非 确定 性 选择 是 只 允许 使 用 
者 选择 一 块 巧克力 ， 而 另 一 种 选择 允许 使 用 者 选择 一 块 巧克力 或 者 一 颗 糖 。 这 个 非 确定 性 选择 
可 以 反映 出 一 些 隐藏 的 内 部 细节 。 例 如 ， 在 投入 硬币 之 后 ， 后 面 的 机 器 可 能 检查 发 现 糖 已 经 均 
完了 。 

对 这 种 等 价 的 另 一 种 定义 方法 出 现在 [105] 中 。 它 定义 了 对 《oc，X)， 称 为 必须 对 (must- 
pair) ， 从 一 个 agent E 开始 执行 动作 序列 o 之 后 所 得 到 的 每 一 个 agent, 至 少 有 一 个 在 和 中 的 动 
作 是 被 允许 的 。 从 巨 出 发 的 必须 对 的 集合 记 为 MCE) 。 此 处 ， 如 果 lo X> BE H— ROAM, 
H YƏX, BA (s, Y) 也 是 巨 的 一 个 必须 对 。 那么 , 仅 当 ME=M( Pi, E=,F, 

我 们 将 说 明 失败 等 价 二 y, 和 必须 等 价 二 ,的 定义 是 一 样 的 ， 即 E= ,FF WX E= FP, 这 是 因 
为 对 于 每 一 个 可 以 从 互 开 始 执行 的 动作 序列 和 每 一 个 动作 集合 4ct WRX, H (G, X) K 
是 从 互 开 始 的 一 个 失败 时 ， 它 才 是 一 个 必须 对 。 


8.5.3 模拟 等 价 


在 如 下 的 等 价 关系 的 定义 中 ， 我 们 隐 式 地 假定 一 个 给 定 的 agent 的 集合 S 和 一 个 动作 集合 
4c 。 当 存在 一 个 agent 集合 上 的 二 元 关系 RSESXS， 满 足 ， 

LERF, 

2. WMR E'RF', HESE", RARER FE PSP"BE'RE", 
我 们 说 一 个 agent F 模拟 一 个 agent 已 。 根 据 这 个 定义 ,及 确立 了 FRM E H., REER 
化 为 E' (通过 执行 某 一 动作 序列 )，F 演化 为 F'，E' 和 环 通 过 及 相 联系 。 那 么 ， 书 模拟 E, Hl 
ERF. METER a, 4833 agent E” 可 以 通过 从 已 执行 e 得 到 某 agent F "来 模拟 。 屠 
么 ，F "模拟 已"， 即 E”RRF"， 且 该 定义 可 以 如 此 反复 应 用 到 后 面 的 agent E. 

从 模拟 的 定义 可 以 得 到 一 些 直 观 的 结论 ， 如 果 ERF, RA 

` 从 已 得 到 的 任意 动作 序列 也 可 以 从 Fr 得到。 

” 可 以 从 已 执行 的 所 有 动作 也 可 以 从 F' 执 行 ( 因 此， 所 有 不 可 以 从 F' 执 行 的 动作 也 不 可 

以 从 EB). 
UR ERM FA 下 模拟 ,那么 我 们 写成 E=, F 并 且说 已 和 下 是 模拟 等 价 的 。( 形 式 化 地 ， 





第 8 章 进程 代数 与 等 价 关 系 - 141 


我 们 首先 需要 证 明寺 ;是 一 个 等 价 关系 。 这 可 以 从 定义 很 简单 地 推出 .) 注意 ， 确 立 E= F RA 
这 样 的 要 求 : 通过 下 模拟 E 的 关系 及 与 通过 FE 模拟 下 的 一 个 关系 外相 一 致 。 也 就 是 说 ， 四 一 及 -: 
的 情况 不 需要 一 定 成 立 。 

模拟 等 价 比 迹 等 价 要 好 ， 因 为 通过 重复 地 应 用 如 上 关系 丸 的 定义 ， 如 果 E=, F, E 的 任意 
迹 可 以 在 下 中 被 模拟 ,反之 亦 然 。 因 此 ，E 和 下 有 同样 的 迹 。 如 图 8.7 所 示 的 例子 展示 了 两 个 
agent 是 迹 等 价 ， 但 不 是 模拟 等 价 。 根 据 这 两 个 agent， 某 种 选择 会 导致 最 终 只 有 7Y 或 只 有 5 被 允 
许 。 然 而 ， 非 确定 性 选择 在 两 个 agent 中 是 在 不 同 的 地 方 实现 的 。 在 左边 的 agent 中 ， 这 个 选择 
是 在 一 开始 执行 a 时 作出 的 ; 而 在 右边 的 agent 中， 选择 是 在 执行 动作 8 时 作出 的 。 

右边 的 agent, a. (8. y. Nil 十 B.6. Nil), BUT AA agent, a By. Nilta B. ò Nil。 这 可 
以 通过 模拟 关系 

R= {Cr), sas72) Css 973) 9 C55 95) ,Cs3 972) 9 C55 9) (s, og) } 

来 证 明 。 另 一 方面 ， 我 们 将 展示 左边 的 agent 不 能 模拟 右边 的 agent。 假 定 存在 从 由 右边 的 agent 演化 
而 来 的 配置 到 由 左边 的 agent 演化 而 来 的 配置 的 模拟 关系 @， 使 得 7 Q a. BA, Aas, Mr, 8 
是 可 执行 的 ， 我 们 必须 有 r Q s, RA r; Qs, 或 者 二 者 都 成 立 。 BO TEBE ns, RF r Qs, 可 以 
类 似 地 完成 。 假 定 r, Q 5 成 立 。 因 为 8 从 +x; 可 以 执行 ， 所 以 我 们 必须 有 7 Qs, 和 7 Qs。 然 而, r, Q 
s 不 能 成 立 ， 因 为 只 有 5 可 以 从 x 执行 ， 而 只 有 7Y 可 以 从 5 执行 ， 从 而 形成 一 个 矛盾 。 

图 8.7 中 的 两 个 agent 也 可 以 被 看 成 是 失败 等 价 。 现 在 我 们 展示 一 个 两 个 agent 是 模拟 等 价 
但 不 是 失败 等 价 的 例子 。 图 8. 8 展示 了 agenta fta 和 a.B。 容 易 看 出 在 两 个 方向 上 存在 模拟 关 
系 。 从 左边 到 右边 ， # 42 8724848 q Khi q RI, Q RI Ta Tm l. gs Kl, 模拟 并 不 是 
问题 ， 因 为 从 q, 可 执行 的 动作 的 缺失 并 不 意味 着 必须 没有 可 执行 的 动作 。 





qı L 
a a a 
KE CA h 
B B 
qa 6 
图 8.7 agent a.B.y. Nil+a. B. 8. Nil Af 8.8 agent a. 8ta Hla. f 


All a. (8, y. Nil +R. 6) 


在 另 一 个 方向 上 ， 我 们 有 模拟 关系 @ 使 得 L Qa > Í, Q q 和 A Qa. 注意 ds 不 能 模拟 L: 动 
fE BM L 可 执行 但 从 a 不 可 执行 。 模 拟 关系 妨 和 Q@ 是 唯一 的 ， 即 它们 不 可 以 用 其 他 在 两 个 系统 之 
间 建 立 模拟 的 关系 替代 。 这 两 个 agent 不 是 失败 等 价 的 ， a. pta ARK la, (A), 而 a. 8 没有 。 


练习 8.5.1 考虑 如 图 8.9 所 示 的 两 个 agent。 用 CCS 表达 式 描述 它们 。 证 明 左 边 的 agent 不 
能 模拟 右边 的 agent。 右 边 的 agent 可 以 模拟 左边 吗 ? 


$, 





图 8.9 练习 8.5.1 中 的 两 个 agent 
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8.5.4 互 模拟 和 弱 互 机 拟 等 价 


模拟 等 价 使 用 两 个 关系 来 定义 : 及 用 右边 的 agent 模拟 左边 的 agent，@ 用 左边 的 agent 模拟 
右边 的 agent。 回 想 一 下 ， 这 些 模 拟 关系 不 需要 相 一 致 ， 也 就 是 不 要 满足 Q@ 一 及-!。 例 如 ， 图 8. 8 
中 的 agent 是 模拟 等 价 的 ， 因 为 在 两 个 方向 上 各 存在 一 个 模拟 关系 。 然 而 ， 回 想 一 下 在 这 个 例子 
当中 ， 从 左 到 右 的 唯一 一 个 模拟 与 从 右 到 左 的 模拟 并 不 一 致 。 特 别 地 ，g, R L, BE 1, Q q, 不 成 
立 。 因 此 ， 不 可 能 发 现 一 个 单一 的 关系 能 从 两 个 方向 上 模拟 。 

ERKE, E=, F 当 且 仅 当 存在 一 个 基于 agent 的 集合 S 的 二 元 关系 REGESXS 满 足 ， 

LERF. 

2. 对 任意 的 agent 对 E' 和 下， 以 及 一 个 动作 a， 如 下 两 个 条 件 成 立 . 


a) 如 果 E'R F'B E'SE", RARER} F"E FOP "和 "RR" 成 立 。 


b) WMR ER FH FE", 那么 存在 某 个 "使 得 E'SE ”和 "RR 下" 成 立 。 
从 该 定义 紧 接 着 可 以 得 到 ， 如 果 两 个 agent 是 互 模拟 ， 那 么 它们 也 是 相似 的 ， 只 要 在 模拟 的 两 
个 方向 上 使 用 关系 妨 和 及 -:。 在 8. 5. 3 节 结 尾 处 涉及 图 8. 8 中 的 agent 间 两 个 相互 不 一 致 的 模拟 关 
系 的 讨论 ， 表 明 模 拟 和 夺 模 拟 等 价 是 不 一 样 的 。 因 此 ， 互 模拟 等 价 是 模拟 等 价 的 一 种 适当 的 精 化 。 
我 们 来 证 明 互 模拟 是 失败 等 价 的 精 化 。 令 (sos，X) 为 EE 的 一 个 失败 。 我们 将 展示 如 果 FE=,,F， 
那么 (sz，X) 也 是 下 的 一 个 失败 。 令 见 为 EE 和 下 之 间 互 模拟 的 见证 。 令 E'323E PLA, ERG o 得 到 
的 agent， 使 得 六 中 的 所 有 动作 从 EE 都 是 不 可 执行 的 。 通 过 重复 地 使 用 互 模 拟 的 定义 ， 我 们 可 以 
证 明 存 在 一 个 从 下 执行 s 得 到 的 agent F', HABER FR. RA, X 中 没有 动作 从 FF' 可 执行 。 


否则， 必然 存在 一 个 agent PSF", He EX。 那 么 必然 存在 一 个 状态 E'H PSEA E" F” 
成 立 ， 与 4o，X) 为 已 的 一 个 失败 了 矛盾。 因此， 已 的 每 一 个 失败 也 是 F 的 一 个 失败 ， 通 过 对 称 的 
论证 , 下 的 每 一 个 失败 也 是 EE 的 一 个 失败 。 因 此 ,EE 和 下 是 失败 等 价 的 ， 

图 8. 7 中 的 两 个 agent 为 证 明 互 模拟 等 价 也 是 失败 等 价 的 适当 的 精 化 提供 了 证 据 。 在 
8. 5. 3 节 中 我 们 展示 了 这 两 个 agent 是 失败 等 价 但 不 是 模拟 等 价 的 。 因 为 互 模拟 等 价 的 agent 也 
是 模拟 等 价 的 ， 因 此 这 两 个 agent 不 可 能 是 互 模拟 等 价 的 。 

不 可 见 动作 出 现时 ， 要 求 agent 之 间 的 互 模拟 作为 标准 可 能 太 强 了 。 它 使 得 那些 仅仅 因 不 可 见 
动作 的 执行 次 数 不 同 而 不 同 的 agent 都 是 可 区 别 的 。 弱 互 模拟 等 价 以 类 似 于 互 模拟 等 价 的 方式 定 
义 ， 但 是 考虑 到 了 经 过 扩展 的 事件 关系 。 它 多 许 在 一 个 抽象 的 层次 上 推理 被 建 模 系统 ， 昌 不 对 不 
可 见 动作 被 重复 执行 了 多 少 次 进行 计数 。 形 式 化 地 ，E=,wF 当 存 在 一 个 agent 间 的 关系 及 。 使 得 ， 

LERF, 

2， 对 每 一 对 agent E'A F’, UR a€ ActU fe}, 以 下 条 件 成 立 ， 


a) 如 果 E'R FH E'SE r 那么 存在 某 个 F" (i 75. FS F “和 E’RF "Rey, 
b) 如 果 E'R FH F' = F ” 那么 存在 某 个 E'H E'SE “和 E'R FF" 成 立 。 


r 


另 一 个 互 模拟 定义 的 有 趣 的 变 体 添加 了 条 件 ES BY FO, RR Pe BÚ 
agent， 要 么 都 可 以 通过 执行 无 数 多 次 + 动作 实现 发 散 ， 要 么 都 不 可 以 发 散 ， 


8.6 等 价 关系 的 层级 


如 图 8.10 所 示 为 将 要 讨论 的 等 价 关 系 的 层级 。 包 含 更 多 等 价 关系 的 复杂 层级 ， 参见 [53]. 
从 一 个 等 价 关系 到 另外 一 个 的 边 表示 前 者 是 后 者 的 一 个 适当 的 精 化 。 也 就 是 ， 任意 两 个 在 后 一 
TRE HE HH agent 在 前 一 个 关系 中 必定 也 是 等 价 的 ; 更 进一步 ， 存 在 一 对 agent 根据 后 一 个 
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关系 等 价 但 根据 前 一 个 关系 不 等 价 。 换 名 话说， 前 一 个 等 价 关 系 强 于 (A) 后 一 个 关系 。 在 
[54] 中 ， 基 于 扩展 的 事件 关系 〈 如 前 面 提 到 的 弱 互 模拟 ) 的 等 价 被 加 入 到 了 层级 当中 。 


有 趣 的 是 ， 这 个 层级 强 依赖 于 动作 可 能 是 非 确 定性 的 这 
一 事实 。 也 就 是 ， 从 同一 个 agent 执行 某 一 相同 的 动作 可 能 
产生 超过 一 个 后 继 agent， 如 在 a Bray 中。 如果 这 种 非 确 

定性 的 动作 不 被 允许 ， 那 么 上 面 所 述 的 所 有 等 价 彼此 都 一 
样 。 事 实 上 ， 人 们 可 以 用 语言 等 价 这 一 简单 标准 代替 。 注 
意 ， 不 允许 非 确定 性 的 动作 并 不 意味 着 同时 废除 非 确定 性 ， 
比如 ， 在 a 十 8 中 系统 仍然 可 以 非 确 定性 地 决定 执行 动作 & 还 
是 另 一 个 动作 B. 


87 用 进程 代数 研究 并 发 

进程 代数 的 框架 允许 我 们 研究 一 些 不 同 构造 的 属性 ， 例 如 非 确定 性 选择 和 并 发 的 结合 。 例 
如 ， 我 们 可 以 证 明 如 下 关于 互 模拟 关系 的 等 价 ， 

交换 率 At B=,,B+A, All BS,,,B | A. 

结合 律 A+(B+O)=,.(A+B)+C, All (B || OS,,(A || B) || C. 

非 确 定性 选择 的 宪 等 律 A+A=,,A. 

更 弱 的 等 价 关系 包含 更 强 的 等 价 关 系 的 所 有 等 价 ， 并 且 可 能 有 附加 的 等 价 。 例 如 ， 对 于 弱 互 
模拟 关系 ， 除 以 上 的 等 价 外 ， 我 们 有 








仿真 等 价 失败 等 价 






图 8. 10 等 价 关系 的 层级 


r. Å = yA (8.8) 
使 用 进程 代数 研究 的 一 个 有 趣 的 现象 是 全 等 《congruence) 的 概念 。 一 个 全 等 是 一 个 等 价 关 
系 同样 允许 在 任意 上 下 文中 替换 。 令 A, B, C 为 三 个 agent。 通 过 将 A 中 所 有 的 B 替换 为 C 得 
到 的 agent 表示 为 A{C/B)。 例如 ， A Hate: BHR., C Hr. 8。 那么 A{C/B} H atr. Bo agent 
之 间 的 全 等 关系 要 求 满足 用 一 个 全 等 于 agent B 的 agent C 3 8948 B 从 而 产生 一 个 全 等 于 A 的 
agent。 形 式 化 地 : 如 果 “ 人 ”是 一 个 agent ZAKARRA, H BXC, 那么 AZ=A{C/B}, 
对 agent 的 结构 应 用 归纳 法 ， 可 以 证 明 ， 互 模拟 等 价 是 一 个 全 等 参见 [100]) 。 另 一 方面 ， 
弱 互 模拟 等 价 不 是 一 个 全 等 。 根 据 式 〈8.8) ， 可 以 观察 到 
==, r. 8 (8.9) 
但 是 ， 很 容易 证 明 
a t Ba Hr B (8.10) 
我 们 可 以 对 式 (8.10) 中 右边 的 agent 应 用 扩展 事件 e， 得 到 一 个 上 只 有 8 被 允许 的 agent。 对 左边 
的 agent 应 用 扩展 事件 。 没 有 导致 变化 ， 允 许 “首先 执行 。 因 此 ， 设 置 A=atf, B=, C=r.8 
为 证 明 弱 互 模拟 关系 不 是 全 等 担 供 了 一 个 反例 [100], 
使 用 进程 代数 可 以 展示 的 另 一 个 有 趣 的 现象 是 在 处 理 动作 精 化 时 交错 语义 的 缺乏。 注意 并 
发 组 合 规则 将 交错 语义 强加 于 并 发 组 合 。 表 达 式 
E=alpy (8. 11) 
在 执行 < 后 可 以 演化 为 0‖ 8. y, 或 者 在 执行 8 后 演化 为 a | y。 因 此 我 们 可 URE StH (在 互 模 
PSP) 于 表达 式 
E'= aB y+ B a y+ B. y. a (8. 12) 
因此 允许 的 执行 序列 为 apys Peys Bya, 交错 了 左边 进程 的 动作 a 和 8 以 及 接着 的 右边 进程 中 的 y, 
现在 考虑 动作 精 化 的 操作 ， 其 中 在 一 个 agent 中 一 个 动作 可 以 被 一 个 有 限 动作 序列 所 兰 代 
(使 用 “. ”运算 符 隔 开 每 个 动作 )。 例 如 ， 动作 精 化 可 以 用 于 描述 一 个 系统 的 逐步 精 化 。 我 们 现 
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在 可 以 用 进程 代数 展示 在 动作 精 化 中 交错 语义 是 不 封闭 的 。 考 虑 agent: 
F=allé (8. 13) 


ERASE a 和 6 并 发 地 执行 。 因 此 ， 根 据 CCS 的 语义 ， 以 任意 的 交错 顺序 。 再 一 次 ， 我 们 将 并 
发 组 合 转换 为 一 个 等 价 的 非 确 定性 agent; 

F’=a4.6+6.a (8. 14) 

现在 ， 如 果 我 们 精 化 下 式 (8.13)) 中 的 8， 将 其 替换 为 序列 及 7， 从 式 (8.11) 我 们 得 到 

agent E ($M FA (8.12) 中 的 五 )。 但 是 ， 如 果 我 们 对 式 〈8. 14) HEH E BJ agent F' 应 用 


同样 的 精 化 ， 我 们 得 到 
C = a. B. y + B. y. a (8.15) 


后 面 的 agent C 不 等 价 于 〈 在 本 章 提出 的 任意 等 价 下 ) 玉 ， 因 为 它 不 允许 序列 pays WAH ¿ FR 
Aly 之 间 ， 如 图 8.11 Bras. 





agent 巨 〈 或 已 ) agent C 


图 8.11 agentE AIC . 


例子 


在 接 下 来 的 例子 中 [18]， 使 用 两 种 不 同方 法 定义 一 个 容量 为 2 的 队列 ， 并 对 两 者 之 间 的 关 
系 进行 研究 。 第 一 个 定义 如 下 : 
Empty2 A put. Hal f 2 
Haif2 A put. Full2 + get. Empty2 
Full2 A get. Half 2 
这 个 序列 的 状态 空间 如 图 8. 12 的 左边 所 示 。 
第 二 个 定义 是 非 直接 的 。 我 们 首先 定义 一 个 缓冲 队列 如 下 ， 
Empty1 A put. Fulll 
Fulll A get. Empty1 
这 个 序列 的 状态 空间 如 图 8. 12 的 中 间 所 示 。 我 们 创建 容量 为 1 的 队列 的 两 个 副本 ， .并 将 它们 连 
接 在 一 起 。 为 此 ， 我 们 重 命名 (通过 重新 标记 ) 第 一 个 队列 中 的 get 动作 为 link, 重 命 名 第 二 个 
副本 中 的 put 动作 为 Hink。 然 后 我 们 用 并 发 运算 符 “ ”将 两 个 副本 合并 。link 和 link 的 同步 发 
生 所 表示 的 第 一 个 副本 的 get 和 第 二 个 副本 的 put 的 同步 ， 将 被 不 可 见 动作 cre. AT BIE 
不 同步 的 出 现 ， 我 们 使 用 如 下 隐藏 运算 符 。 
Bl A Embty1[ lHnb / get] 
B2 A Empty1[link/ put] 
Queue2 A (B1 || B2) N {link} 
Queue? 的 状态 空间 如 图 8. 12 的 右边 所 示 。 
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图 8.12 队列 的 进程 代数 模型 


根据 上 述 等 价 的 定义 ， 可 以 证 明 两 位 序列 的 这 两 种 实现 Empty? 和 Queue) 不 是 互 模拟 
的 。 特 别 是 ，Queue2 包含 不 可 见 动作 ， 而 Empiy2 不 包含 。 但 是 ， 根 据 弱 互 模拟 定义 ， 这 两 个 
agent 是 等 价 的 。 f 


8.8 计算 互 模拟 等 价 

考虑 有 限 状 态 agent 的 情形 。 如 果 互 模拟 等 价 被 用 于 比较 一 个 实现 与 一 个 设计 的 正确 性 准 
则 ， 那 么 一 个 检验 它 的 有 效 方法 是 必需 的 。 

我 们 给 出 一 个 检查 agent E 和 F 之 间 的 互 模拟 等 价 的 经 典 算法 。 开 始 我 们 构造 状态 空间 <S, 
4)， 其 中 S 是 可 以 从 E RAF 演化 得 到 的 agent HARRE (因此 ， E, FES), AX agent 之 间 
的 转换 关系 ， 即 ASSX(4ctU {7r})XS。 该 算法 重复 地 将 S 的 状态 划分 至 不 相交 的 子 集 中 。 它 从 
一 个 包含 S 中 所 有 节点 的 子 集 开 始 ， 精 化 划分 ， 即 分 解 节点 的 子 集 为 更 小 的 子 集 ， 直 到 每 一 个 
子 集 PEP 内 包含 的 agent 彼此 之 间 互 模拟 等 价 。 就 是 说 ， 对 于 每 个 G,，G, EP,，G, 及 G, 。 

通常 在 (S, A) 上 有 超过 一 种 方式 满足 互 模拟 关系 的 定义 ， 即 有 不 止 一 个 关系 及 吐 SxXS 满 
足 互 模拟 等 价 的 定义 。 一 个 简单 的 例子 为 一 个 关联 每 个 agent 只 到 自身 的 等 价 关系 。 当 然 这 不 是 
一 个 有 趣 的 等 价 关系 。 总 有 一 个 最 大 的 〈 即 最 粗 粒 度 的 ) 这 种 关系 ， 即 一 个 包含 划分 了 SHR 
大 的 这 种 互 模拟 等 价 类 。 我 们 对 找到 在 互 模拟 的 定义 中 用 到 的 最 大 的 关系 丸 感 兴趣 。 然 后 我 们 可 
LRR ENF 是 否 在 划分 的 相同 子 集中 。 

划分 算法 如 下 : 

1. 创建 初始 划分 PE{S)。 

2. 重复 直至 不 再 有 变化 : 

找到 在 划分 亿 中 是 否 存 在 两 个 (不 一 定 要 不 同 ) AR Ti, Tr OP agent 的 两 个 集合 ) 和 一 个 

动作 aE Act 使 得 以 下 成 立 ， 可 以 将 agent SRST, 分解 为 两 个 非 室 的 且 不 相交 的 子 集 Si; 

S, 满足 


。 对 每 个 agent EE S,， 存 在 一 个 agent E'€ T, 满足 ESE', 


。 不 存在 agent EE S, 使 得 对 某 个 agent E'ET,, E SE R 3, 

如 果 存 在 这 种 子 集 ， 用 子 集 S; 和 S, 替换 刀 中 的 工 。 

根据 这 个 算法 ， 区 别 agent 从 而 把 它们 放 到 不 同 的 子 集 中 去 的 一 个 方法 是 ， 当 某 agent 存在 
一 个 标记 了 动作 a 的 事件 ， 而 其 他 agent 没有 标记 了 a 的 事件 。 另 一 种 划分 agent 的 方法 是 ， 两 
个 agent 都 有 标记 了 a 的 事件 ， 但 却 分 别 演化 成 已 经 划分 在 不 同 子 集 中 的 agent, 

通过 对 算法 执行 的 任意 阶段 中 划分 的 数目 进行 简单 地 归纳 ， 我 们 可 以 看 到 : 如 果 一 个 agent 
的 集合 被 分 解 成 两 个 子 集 ， 那 么 我 们 可 以 通过 这 些 agent 不 可 能 是 互 模拟 的 来 区 分 它们 。 反 过 
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来 ,我们 可 以 对 划分 的 长 度 进 行 妇 纳 ， 从 而 证 明 ， 在 算法 的 任意 阶段 ，(S，4) 上 的 任意 互 模拟 
是 当前 划分 的 一 个 精 化 (特别 地 ， 包 含 最 终 的 划分 )。 这 意味 着 通过 算法 得 到 的 互 模拟 是 最 大 的 
那个 。 划 分 的 数目 以 S 的 大 小 为 边界 ， 因 为 每 个 子 集 必须 至 少 包 含 一 个 agent。 如 果 n 是 S 中 
agent 的 数目 ，m 是 A 中 动作 的 数目 ， 那 么 时 间 复 杂 度 为 O(nX m), 

考虑 两 个 agent A&a. (C(A HC. ò A) H BA. 8 十 a. y.. B, 我们 在 图 8.13 中 给 出 它们 的 
图 。 每 个 节点 对 应 于 上 述 的 每 个 agent 或 者 从 它 演化 得 到 的 。 节 
Kiso 对 应 于 A 会 a.(( 忆 十 (7.6.A))， 节 点 r 对 应 于 BAe. pt 
a. 7.6. B。 图 中 的 边 对 应 于 事件 而 节点 对 应 于 agent。 例 如 ，s 由 
5 通过 执行 a 动作 而 得 到 ， 因 此 s MMF M+ (yd A). r, 到 
六 的 边 对 应 于 B 中 左边 的 a 选择。 因此 ，r, 对 应 于 agent pe r, 
到 x, 的 边 对 应 于 在 B 中 选择 右边 的 a 并 得 到 agent y. 6. A. 

我 们 通过 将 所 有 节点 放 和 信 一 个 集合 来 开始 该 算法 : 

S = (55 5S; 982 983970 911 2 973 97s} 

类 似 地 ， 我 们 将 A 设置 为 两 个 状态 图 中 转换 的 集合 ; 


a y Š a 
A = {50 >Si 55) S298, S3 953 — Sosro Ths 





n Sr r ae r, 4y, iT Èn) 图 8.13 agent A #l B 的 状态 空间 
我 们 第 一 次 根据 动作 a 作出 划分 的 选择 。 只 有 节点 Ar, 可 以 执行 a。 因 此 ， 我 们 得 到 如 下 
两 个 子 集 的 划分 ， 
{so sro)} 
{51 982 983 Ti Ty Ts FA) 
我 们 根据 动作 8 划分 第 二 个 子 集 ，p8 仅 可 被 节点 s Ar, 执行 ， 得 到 
{sosro} 
{siori} 
{S2 Sa Ta Tra ora} 
接着 ， 我 们 根据 动作 y 划 分 第 二 个 子 集 。 节 点 s 可 以 执行 一 个 y 动作， 而 7 不行。 
(sor) 
(s? 
{r,} 
{S82 583372973 yT, 
现在 ,我 们 根据 y 划分 第 四 个 集合 。 这 个 集合 中 唯一 可 以 执行 动作 7 的 节点 是 +,， 因此 它 成 
为 一 个 一 元 的 集合 ， 与 其 他 分 开 。 
(ser) 
(s) 
{ri} 
{82 953 972 rs] 
(z) 
接着 我 们 根据 8 划分 第 四 个 集合 。 节 点 s, 和 六 不 能 执行 动作 》， i ss Ar, ALA. 
(san) 
(s) 
(n) 
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{szora} 
{S373} 
{ra} 
现在 我 们 根据 a 划分 第 一 个 集合 。s。 和 xr。 都 能 执行 动作 a。 但 是 ， 从 s 执行 a 得 到 状态 si 
从 执行 a 得 到 状态 r;。 因 为 这 两 个 状态 属于 划分 中 的 不 同 子 集 ， 我们 需要 将 5 Mr, 分 离 。 
(sa) 
{ro} 
{si} 
{ri} 
{S272} 
Ís, rs) 
{ra} 

到 目前 为 止 我 们 知道 A 和 BB 不 是 互 模拟 的 ， 因 为 它们 分 别 用 状态 s Ar 表示 ， 属 于 划分 中 
不 同 的 子 集 。 如 果 我 们 想 继续 划分 进程 ， 可 以 根据 6 对 第 六 个 子 集 进行 划分 ， 分 离 s Arn Æ 
由 是 从 s 我 们 到 达 s, Arn 我 们 到 达 六， 二 者 现在 处 于 不 同 的 子 集 当 中 。 

{ so} 
{ro} 
(s) 
{ri} 
{52 oz} 
{53} 
(rs) 
{rs } 

我 们 不 可 以 再 进一步 划分 了 ; 只 有 一 个 多 于 一 个 节点 的 子 集 ， 它 包括 了 s ln. RHPA 
是 不 可 以 分 解 的 ， 因 为 对 它们 每 一 个 而 言 ， 没 有 允许 执行 的 动作 。 

检查 有 限 状态 的 agent E 和 下 的 弱 互 模拟 等 价 可 以 从 计算 EE 和 FF 的 状态 空间 开始 。 然 后 计算 
扩展 的 动作 关系 。 这 通过 类 似 于 计算 一 个 关系 的 传递 闭 包 的 算法 完成 。 这 样 的 算法 ， 例 如 Floyd 
和 Warshall 算法 [145]， 可 以 在 图 大 小 的 立方 时 间 内 完成 〈 即 OGm))。 

这 些 复杂 度 以 关于 被 比较 的 状态 空间 大 小 的 函数 的 形式 给 出 。 正 如 6. 9 节 中 讨论 的 ， 测 量 输 
入 大 小 是 相当 有 偏见 的 方法 ， 因 为 状态 空间 可 能 在 指数 级 别 上 大 于 系统 的 进程 代数 描述 。 一 个 
更 加 有 效率 的 算法 ， 其 时 间 复 杂 度 为 OC(mXlogn)， 在 [111] 中 给 出 。 


8.9 LOTOS 


LOTOS(Language Of Temporal Ordering Specification) 是 一 个 进程 代数 标准 ， 由 ISO (Inter- 
national Standard Organization， 国 际 标准 化 组 织 ) 颁布 [72]。 它 包括 进程 代数 CCS， 一 种 带 数 
据 类 型 的 代数 化 的 规范 [44]。 在 这 一 节 中 我 们 将 描述 LOTOS 的 主要 特征 并 将 其 与 CCS 比较 。 
要 了 解 更 详细 的 LOTOS WHR. BM [17]. 

在 LOTOS 中 ，agent 被 称 为 进程 。 一 个 进程 定义 如 下 ， 

process process name [actions_list] *=behavior_expression end proc 
其 中 的 动作 列表 用 逗号 分 隔 。 与 CCS 不 同 ，LOTOS 不 包含 互补 动作 。 

LOTOS behavior_expression 中 的 某 些 运算 符 在 CCS 中 有 直接 对 上 应， 尽管 表 示 方 法 通常 有 小 
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小 的 不 同 。LOTOS 中 动作 的 前 缀 运算 符 为 “;”， 而 不 是 “. ”。 非 确定 性 选择 为 “[J”， 蔡 代 了 
“十 ”。 不 可 见 动作 为 1， 替代 了 +。 限制 在 LOTOS 中 表示 为 “\”， 与 在 CCS 中 一 样 ; 但 是 , 动 
作 列 表 在 LOTOS 中 以 方 括号 包围 ，“[” 和 “]”， 而 不 是 大 揪 号 。 终 止 的 表示 为 exit 而 不 是 0。 
exit 的 执行 结果 为 特殊 动作 ó, 
LOTOS 提供 了 三 种 合并 并 发 进程 的 方法 : 
。 全 同步 : 用 运算 符 “||” 表 示 ， 人 允许 所 包含 的 进程 仅 可 以 在 执行 相同 的 动作 时 演化 。 因 此 
a;B || a; C 可 以 通过 执行 a REY B | C, W aB) dsC 的 两 个 并 发 组 件 都 不 能 继续 。 
° 纯 交 错 : MERR “| 表示 ， 人 允许 从 任意 一 个 并 发 进程 选择 一 个 动作 执行 ， 而 其 余 的 
进程 保持 不 变 。 因 此 ，a;B|lla;C 可 以 通过 执行 a WEA BIC 或 者 通过 执行 d 演化 
为 a;B1|IC。 在 纯 交错 组 合 之 下 ， 在 相同 动作 的 不 同 发 生 之 间 没 有 同步 。 因 此 ， 进 程 
43Bllla;C 可 以 演化 为 Bla;C 或 者 a;BIIIC， 但 是 与 CCS 中 的 并 发 组 合 不 同 ， 它 不 能 演 
H BIC. 
。 选择 性 同步 : 表示 为 以 下 语法 
process | Laction _list ] | process 
左边 和 右边 的 进程 可 以 通过 列表 中 的 动作 同步 ， 或 通过 其 他 动作 交错 。 因 此 ,a;B|[aj|a;C 
可 以 通过 执行 “演化 为 了 | C。 进 程 a;Bj[aj| dja C 只 能 通过 执行 d REA aiB] [a]l aC. 
它 不 可 以 通过 执行 a 演化 ， 因 为 两 个 并 发 进程 之 间 的 同步 依赖 于 a， 而 a 只 被 其 中 一 个 进程 
所 允许 。 但 是 ， 在 执行 4 之后， 两 个 进程 可 以 通过 执行 a 同步 。 

LOTOS 有 一 些 在 CCS 中 不 能 直接 形成 的 结构 。 使 能 Cenabling) 运算 符 “ 六 ”允许 顺序 组 
a. Ast, ADBRA 一 样 行动 ， 之 后 如 果 A 成 功 终止 ， 即 以 exit 结束 ， 则 它 像 B 一 样 行 动 。 在 
A ALB 的 执行 之 间 有 不 可 见 动作 i 的 一 次 发 生 ， 代 兰 了 在 A 结束 时 的 exit 所 对 应 的 特殊 动作 a. 
中 断 《〈disruption) BAR [> AARE i. A, A [>B 开始 像 A 一 样 行动 。 在 A 执行 
的 任意 时 刻 ， 它 可 能 被 中 断 ， 然 后 B 的 执行 开始 。 如 果 A 成 功 终止 ， 即 执行 到 exit, BABA 
可 以 再 执行 。 如 果 A 不 能 成 功 终止 ， 那 么 B 必须 执行 。hide (隐藏 ) 运算 符 有 如 下 语法 ， 

hide Laction_list] in process 
它 用 不 可 见 动作 i 替换 action_lise 中 的 动作 。 隐 藏 和 限制 被 用 于 禁止 与 进程 的 某 些 动作 的 交互 。 
但 是 ， 限 制 不 允许 含有 被 限制 动作 的 执行 ， 而 隐藏 允许 它们 执行 并 随后 将 它们 替换 为 不 可 见 
动作 。 


8.10 ”进程 代数 工具 


concurrency workbench 可 以 从 爱丁堡 大 学 获得 ， 使 用 如 下 URL; 
http://www. des. ed. ac. uk/home/ewb 

FC2Tools 包 可 以 从 INRIA 获得 ， 通 过 如 下 URL: 

http: //www-sop. inria. fr/meije/verification 

PSF 工具 包 可 以 从 阿姆斯特丹 大 学 获得 ， 通 过 如 下 URL, 


http://adam. wins. uva. nl/~psf 


注意 : 形式 化 方法 系统 的 使 用 通常 要 求 填写 并 发 送 一 份 恰当 的 发 布 表 格 ， 确 认 遵 守 某 些 使 
用 条 款 。 


8.11 扩展 阅读 
Robin Milner 所 著 的 关于 进程 代数 的 经 典 书籍 包括 ， 


上 述 
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R. Milner, Communication and Concurrency, Prentice-Hall, 1995. 


R. Milner, Communicating and Mobile Systems: the 7-calculus, Cambridge 


University Press, 1999. 
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最 近 的 进程 代数 的 一 个 扩展 ， 人 允许 移动 性 《mobility)， 即 通信 和 拓扑 的 动态 变化 ， 是 x 演算 。 


列表 中 的 第 二 本 书 有 对 CCS 和 x 演算 的 描述 。 


近期 关于 通信 协议 ， 包 含 对 LOTOS 的 描述 以 及 其 他 ISO 标准 (如 SDL 和 ESTELLE) 的 
PË: 


R. Lai, A. Jirachiefpattana, Communication Protocol Specification and Ver- 
ification, Kluwer Academic Publishers, 1998. 


其 他 关于 进程 代数 的 书籍 包括 ; 

J. C. M. Baeten, W.P. Weijland, Process Algebra, Cambridge Tracts in The- 
oretical Computer Science, Cambridge University Press, 1990. 

J. C. M. Baeten, ed., Applications of Process Algebra Cambridge Tracts in 
Theoretical Computer Science, Cambridge University Press, 1991. 

G. Bruns, Distributed System Analysis with CCS, Prentice-Hall, 1996. 

M. Hennessy, Algebraic Theory of Processes, MIT Press, 1988. 

关于 不 同 的 进程 代数 的 扩展 和 它们 之 间 的 比较 可 以 在 以 下 两 篇 论文 中 找到 ， 

R. J. van Glabbeek, The Linear Time-Branching Time Spectrum (Extended 
Abstract), CONCUR 1990, Theories of Concurrency, Amsterdam, The 
Netherlands, Lecture Notes in Computer Science 458, Springer-Verlag, 
1990, 278-297. 

R. J. van Glabbeek, The Linear Time-Branching Time Spectrum II, E. 
Best (ed.), 4th international conference on Concurrency theory, CON- 
CUR 1993, Lecture Notes in Computer Science 715, Springer-Verlag, 
Hildesheim, Germany, 66-81. 
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软件 测试 





ee 瓶颈 上 系 着 一 个 纸 标签 ， 上 面 淋 亮 地 印 着 两 个 大 字 :“ 喝 我 ”。 说 “ 喝 我 ”当然 擒 好 ， 可 
是 聪明 的 小 爱丽 丝 是 不 会 急于 这 么 干 的 。 “不 行 ， 我 得 先 看 看 ,” 她 说 ， “上 面 是 不 是 写 着 
ma” 

刘易斯 ， 卡 洗 尔 《爱丽 丝 漫游 奇 境 记 》 


测试 是 基于 给 定 的 准则 对 系统 的 执行 进行 抽样 的 一 个 过 程 。 测 试 过 程 将 系统 的 每 次 执行 与 
规约 进行 比较 ， 并 将 其 中 的 不 一 致 作为 错误 报告 。 由 于 测试 通常 是 对 系统 执行 的 抽样 ， 而 不 是 检 
查 所 有 的 系统 执行 ， 所 以 并 不 能 保证 所 有 的 错误 都 能 被 覆盖 到 。 测 试 方法 究 不 能 像 前 面 几 音 中 
所 介绍 的 形式 化 方法 那样 全 面 地 对 系统 的 正确 性 提供 保证 。 因 此 ， 一 些 研 究 人 员 甚 至 不 将 测试 
妇 为 形式 化 方法 。 然 而 ， 当 给 定 系 统 规模 较 大 ， 不 能 进行 人 工 或 自动 的 验证 时 ， 测 试 往往 能 提供 
一 个 较为 实用 的 解决 方案 。 事实 上 ， 测 试 基 本 上 是 提高 软件 质量 的 最 为 广泛 使 用 的 方法 。 

显而易见 ， 即 使 是 最 严格 的 测试 技术 也 无 法 保证 经 过 测试 后 的 系统 在 任意 环境 下 都 能 正确 
和 运行。 例如， 测试 过 程 中 可 能 忽略 了 一 些 内 部 参数 ， 如 温度 、 湿 度 等 。 对 一 个 自动 售 货 机 出 售 巧 
克 力 棒 的 功能 连续 测试 10 次 ， 每 次 投入 正确 数量 的 钱币 ， 按 了 正确 的 按钮 后 ， 取 货 口 均 成 功 送 
出 了 巧克力 棒 ， 并 不 能 保证 第 11 次 也 能 正确 运行 。 前 面 所 进行 的 测试 仅仅 是 增加 了 对 系统 正确 
执行 的 期 望 值 。 昌 然 下 面 这 种 情况 出 现 的 可 能 性 不 大 ， 但 是 该 自动 售 货 机 仍 有 可 能 在 下 午 5 点 前 
是 正常 工作 的 ，5 点 后 取 货 口 送出 的 却 是 爆 米花 而 不 是 所 购买 的 巧克力 榨 。 尽 管 如 此 ， 使 用 前 面 
几 章 中 所 措 述 的 方法 验证 系统 的 设计 ， 并 对 实际 系统 的 行为 正确 性 进行 测试 ， 肯 定 能 减少 系统 
出 现 错误 和 异常 行为 的 可 能 性 。 

测试 并 不 能 用 于 证 明 待 测 程序 中 没有 错误 ， 也 不 能 保证 程序 会 正确 地 完成 预期 目标 。 同 样 ， 
测试 也 并 不 能 保证 找到 程序 中 所 有 的 〈 甚 至 是 一 些 ) 错误 ， 不 存在 一 个 充分 的 测试 用 例 集 可 以 保 
证 做 到 这 点 。 测 试 仅仅 是 一 个 在 指定 的 条 件 和 参数 下 运行 待 测 程序 ， 并 试图 找 出 错误 的 过 程 。 

在 某 种 意义 上 ， 测 试 员 的 目标 是 处 于 程序 员 的 对 立 面 的 ， 一 个 成 功 的 测试 员 需 要 发 现 程序 
中 存在 的 错误 。 困 此， 至少 在 理论 上 ， 程 序 员 不 应 该 对 自己 所 编写 的 代码 进行 测试 。 然 而 在 实践 
中 ， 经 常会 要 求 程序 员 对 自己 所 编写 的 代码 进行 测试 。 

尽管 测试 并 不 能 保证 会 发 现 给 定 程序 中 的 所 有 错误 ,但 测试 易于 进行 ， 并 能 以 合理 的 开销 
提高 系统 的 可 靠 性 。 特 别 是 与 演绎 验证 相 比 ， 测 试 所 需要 的 时 间 开 销 和 人 力 资源 均 明显 要 少 。 当 
验证 难于 实施 ， 模 型 检验 不 可 行 时 (例如 ， 在 出 现 无 限 的 或 巨大 的 状态 空间 ， 或 者 复杂 的 数据 结 
构 时 ) ， 测 试 方法 往往 仍然 是 适用 的 。 

软件 测试 包括 下 面 几 个 层次 和 阶段 ， 

单元 〈 模 块 ) 测试 。 最 底层 的 测试 阶段 ， 对 代码 的 小 片段 单独 进行 测试 。 

集成 测试 。 对 多 个 代码 片段 协同 进行 测试 ， 这 些 代码 片段 可 能 是 由 不 同 团队 开发 的 。 

系统 测试 。 将 系统 作为 一 个 整体 进行 测试 ， 通 常用 于 审查 软件 的 功能 性 。 

验收 测试 。 通 常 由 用 户 进 行 ， 检 查 所 开发 的 系统 是 否 满足 其 需求 。 

回归 测试 。 在 维护 阶段 进行 ， 当 对 系统 中 的 部 分 模块 进行 修改 、 校 正 或 者 升级 时 ， 检 查 系统 
各 项 功能 是 否 仍 能 正确 运行 。 回 归 测 试 通常 在 为 已 测试 系统 增加 新 功能 时 使 用 。 在 这 种 情况 下 ， 
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可 以 重复 使 用 以 往 的 测试 用 例 来 检查 原 有 的 各 项 功能 是 否 能 正确 运行 。 

压力 测试 。 在 极端 条 件 下 对 系统 进行 测试 ， 例 如 ， 在 不 正常 的 有 大 量 用 户 或 大 量 数据 的 情 
F. : 

白金 测试 是 一 种 以 审查 系统 内 部 细节 (如 代码 ) 为 基础 来 对 系统 进行 排 错 的 技术 。 部 分 测试 
从 业者 并 不 喜欢 使 用 和 白金 (white box) 这 个 术语 ， 而 更 倾向 于 使 用 直 驶 的 透明 使 (transparent 
box》 这 个 术语 来 强调 测试 过 程 中 代码 的 可 见 性 这 一 特征 。 执 行路 径 由 一 个 待 测 代 码 中 出 现 的 控 . 
制 点 和 指令 的 序列 组 成 。 我 们 可 以 将 一 条 执行 路 径 视 为 待 测 代码 流程 图 中 的 一 条 路 径 。 待 测 程 
序 执行 路 径 的 数量 可 能 相当 巨大 ， 其 至 是 无 限 的 。 由 于 程序 路 径 数量 巨大 ， 遍 历 所 有 路 径 往往 是 
不 可 行 的 。 为 解决 这 一 问题 ， 研 究 人 员 提 出 了 多 种 测试 覆盖 准则 。 根 据 这 些 覆盖 准则 ， 仅 需 检 查 
相对 较 少 的 一 些 路 径 ， 就 能 达到 较 高 的 错误 发 现 率 。 代 码 改 盖 分 析 可 以 用 于 对 测试 的 覆盖 度 进 
行 定 性 和 定量 的 度量 。 在 测试 过 程 结束 后 ， 它 可 以 对 代码 中 仍然 存在 错误 的 可 能 性 进行 预测 。 

与 白 盒 测试 不 同 ， 黑 使 测 试 不 是 基于 系统 内 部 结构 的 。 在 某 些 情况 下 ， 系 统 的 内 部 结构 可 能 是 不 
可 获知 的 ， 黑 盒 测 试 使 用 待 测 系统 的 已 知 接口 所 允许 的 实验 进行 测试 。 在 某 些 情况 下 ， 即 使 系统 的 内 
部 结构 部 分 或 全 部 可 知 时 仍 会 使 用 黑 盒 测试 ， 以 避免 具体 的 实现 方式 给 测试 带 来 影响 和 偏差 。 

由 于 白 盒 测试 直接 处 理 代码 ， 因 此 它 更 适用 于 较 低层 次 的 测试 ， 如 单元 测试 和 集成 测试 。 黑 
盒 测试 则 适合 检查 系统 的 功能 性 ， 因 此 更 适用 于 系统 测试 和 验收 测试 。 当 然 ， 黑 盒 测 试 也 可 用 于 
单元 测试 。 

在 单元 测试 和 集成 测试 阶段 找到 错误 可 以 帮助 定位 错误 所 在 的 位 置 ， 而 较 高 层次 的 测试 仅 
能 对 错误 的 大 致 位 置 给 出 提示 。 在 软件 生命 周期 的 较 早 阶段 找 出 错误 并 立即 修复 所 需 的 成 本 更 
低 。 男 外 ， 较 低层 次 的 测试 ， 如 单元 测试 ， 介 许 对 软件 的 多 个 部 分 同时 进行 开发 和 测试 。 

测试 基于 在 待 测 系统 上 自动 或 手工 进行 的 一 系列 实验 (experiment)。 测 试 人 员 通 过 使 用 一 
些 测试 方法 〈 可 能 还 会 使 用 某 些 测 试 工具 ) 来 生成 一 组 测试 用 例 ， 得 到 一 个 测试 套件 (test 
suite) 。 测 试 的 执行 包括 与 待 测 系 统 间 的 交互 以 及 逐个 执行 测试 套件 中 的 测试 用 例 。 测 试 环 境 必 
须 允 许 测 试 人 员 逐 步 运行 实验 ， 并 进行 对 其 观察 。 获 取 一 个 合适 的 测试 环境 可 能 需要 在 待 测 软 
件 中 增加 一 些 代码 。 实 奈 的 测试 过 程 还 可 能 包括 为 程序 在 预先 指定 的 位 置 提供 用 户 输 入 ， 并 在 
运行 结束 后 观察 所 输出 的 结果 。 在 其 他 情况 下 ， 测 试 可 能 强制 程序 从 某 个 特殊 的 状态 开始 运行 ， 
或 者 当 程序 执行 到 某 个 特殊 位 置 时 对 某 内 部 变量 的 值 进行 比较 。 为 完成 实验 和 观察 ， 需 要 增加 
一 些 特殊 的 代码 来 运行 测试 。 

接 下 来 我 们 首先 介绍 几 种 白 盒 测试 技术 ， 然 后 从 9.9 节 开 始 介 绍 黑 盒 测试 技术 。 


91 审查 和 走 查 


审查 (inspection) 和 走 查 (walkthrough) 都 是 人 工 的 测试 方法 ， 一 般 在 在 会 议 中 由 一 小 组 
人 员 进 行 ， 通 常 需要 1 ~ 2 小 时 。 实 验 数据 表明 ， 在 同行 审查 会 议 中 通常 可 以 发 现代 码 中 30% - 
70% 的 错误 。 

在 代码 审查 过 程 中 ， 团 队 的 一 个 成 员 是 协调 员 (moderator) 。 他 负责 分 发 材料 ， 控 制 会 议 进 
度 并 记录 错误 。 测 试 过 程 主要 是 程序 员 逐 行 解释 待 审查 代码 。 团 队 成 员 从 一 个 潜在 错误 的 完整 
列表 中 选取 一 些 问 题 进行 所 问 和 讨论 。 下 面 是 一 些 与 典型 程序 错误 相关 的 这 类 问题 的 示例 ， 

是 否 所 有 的 变量 都 在 使 用 前 被 初始 化 ? 

数组 变量 的 下 标 是 否 越 界 ? 

是 否 所 有 的 变量 都 已 声明 ? 

过 程 调用 及 对 应 的 过 程 声明 的 参数 数量 和 类 型 是 否 一 致 ? 

是 否 有 除 零 操作 ? 
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下 面 是 对 代码 审查 的 质量 有 影响 的 儿 个 因素 。 
。 代码 审查 的 准备 时 期 至 关 重 要 。 如 果 代 码 是 全 新 的 ， 可 能 需要 程序 员 准 备 一 个 简短 的 讲 

座 对 代码 进行 介绍 。 在 这 种 情况 下 ， 可 能 更 适 于 称 此 为 代码 走 查 。 
。 为 实现 高 质量 头脑 风暴 会 议 ， 代 码 审查 员 的 数量 、 程 序 员 和 外 部 审查 员 的 混合 很 重要 。 
。 协调 员 要 确保 审查 过 程 中 发 现 的 重要 问题 都 得 到 了 记录 ， 并 分 配合 适 的 人 选 负责 解决 审 
查 中 所 发 现 的 问题 。 
发 现 错误 的 数量 可 以 用 做 一 个 度量 来 评估 审查 成 功 的 程度 。 对 不 同类 型 的 系统 ， 有 统计 
数据 表明 上 典型 的 错误 数量 。 

代码 走 查 同样 由 一 个 比较 小 的 团队 展开 ， 与 代码 审查 时 的 安排 相似 。 辣 样 ， 协 调 员 控制 会 议 
进度 并 记录 错误 。 测试 人 员 通 过 前 面 构造 的 测试 用 例 模 拟 计算 机 的 行为 。 测 试用 例 使 用 标准 文 
档 进 行 描述 。 

上 述 两 种 测试 方法 能 否 获得 成 功 依赖 于 团队 成 员 的 准备 和 协作 。 协 调 员 应 该 设 定 会 议 时 间 
并 提前 向 团队 成 员 分 发 待 测 代码 。 团 队 其 他 人 员 则 需要 在 会 议 前 熟悉 代码 。 在 审查 和 走 查 这 样 
人 与 人 之 间 的 交互 活动 中 ， 一些 心理 因素 至 关 重要 。 例 如 会 议 的 长 度 〔 在 类 似 于 头脑 风暴 的 会 议 
中 ， 这 通常 会 直接 影响 到 注意 力 集中 的 程度 ) ， 对 团队 成 员 相互 矛盾 目标 的 控制 能 力 〈 比 如 ， 一 
方面 要 找 出 程序 中 的 错误 ， 另 一 方面 又 会 为 对 代码 的 批评 进行 辩护 )。 


9.2 控制 流 和 覆盖 准则 

在 单元 测试 中 ， 一 个 测试 用 例 通常 对 应 于 所 选择 的 一 一 条 执行 路 径 。 路 径 可 以 进行 选择 ， 比 如 
可 以 通过 指定 初始 值 和 执行 过 程 中 所 需要 的 输入 来 进行 选择 。( 然 而 ， 在 程序 可 能 出 现 非 确 定性 
行为 时 ， 比 如 存在 并 发 的 时 候 ， 指 定 初始 值 和 输入 不 足以 完全 控制 整个 执行 过 程 .) 测试 人 员 可 
以 执行 一 条 路 径 并 将 输出 结果 与 预期 的 输出 进行 比较 。 测 试 过 程 中 ， 假 定 测试 人 员 对 待 测 系统 
正确 的 行为 是 已 知 的 ， 并 能 发 现 待 测 程序 实际 行为 的 偏差 。 

在 测试 过 程 中 ， 很 少 会 采用 完整 地 检查 系统 所 有 执行 的 方式 。 因 此 ， 测 试 通常 是 基于 特定 的 
履 盖 准则 进行 的 。 按 照 一 定 的 覆盖 准则 ， 可 以 将 可 能 会 发 现 同样 错误 的 执行 归 为 一 个 集合 。 (在 
实践 过 程 中 ， 测 试 发 现 的 可 能 是 引发 错误 的 缺陷 源 ， 而 并 不 总 是 错误 .) 然后 测试 人 员 在 每 一 个 
集合 中 抽取 一 个 作为 执行 样本 。 例 如 ， 可 以 将 治 着 待 测 程序 对 应 的 流程 图 中 同一 一 条 路 径 运 行 的 
执行 归 为 一 个 集合 。 

总 而 言 之 ， 集 合 数量 越 大 ， 每 个 集合 所 包含 的 测试 用 例 的 数量 就 越 小 。 通 常 〈 但 并 不 一 定 ) 
一 个 履 盖 准则 需要 检查 的 执行 路 径 越 多 ， 发 现 程序 中 洪 在 错误 的 可 能 性 就 越 高 ， 但 完成 测试 所 
需要 的 工作 量 也 越 多 。 履 盖 准 则 可 以 被 视 为 检验 代码 的 启发 式 
方法 ， 其 中 一 些 覆盖 准则 将 在 下 面 介绍 。 

接 下 来 我 们 将 介绍 几 种 主要 的 覆盖 准则 并 通过 一 个 示例 来 
次 明 它 们 之 间 的 区 别 。 图 9. 1 是 示例 程序 的 一 部 分 所 对 应 的 流 
程 图 。 该 示例 不 需要 用 户 提供 输入 。 我 们 将 基于 所 介绍 的 各 种 
覆盖 准则 ， 给 出 针对 该 流程 图 的 一 些 测试 用 例 的 示例 。 

为 更 好 地 使 用 这 个 特定 的 例子 来 强调 覆盖 准则 的 不 同 ， 在 
测试 用 例 中 使 用 在 判定 谓词 (decision predicate) z=yAz>w 
之 前 《 即 刚 刚 递增 了 y 之 后 ) 的 变量 状态 来 描述 。 但 在 一 般 情 
况 下 ， 在 路 径 入 口 处 采用 赋值 表达 式 来 描述 测试 用 例 更 为 合理 ， 
因为 我 们 可 以 适当 地 对 测试 进行 初始 化 。 将 测试 用 例 的 规约 向 
路 径 人 口 处 传播 的 方法 将 在 9.4 节 中 介绍 。 在 随后 的 章节 中 ， . 图 9.1 部 分 流程 图 
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我 们 使 用 条 件 〈condition) 这 个 术语 来 表示 一 个 简单 的 一 阶 公式 (参见 3. 3 节 )， 即 一 阶 项 关系 
的 应 用 。 


9.2.1 语句 覆盖 
程序 中 的 每 条 可 执行 语句 〔 人 例如， 赋值 、 输 入 、 判 定 、 输 出 ) 在 至 少 一 个 测试 用 例 中 出 现 。 
对 语句 覆盖 准则 ， 我 们 使 用 下 面 的 赋值 使 判定 谓词 =y zw MIR TRUE: 
(XD2,yP2,zD 4,wh 3) (9.1) 
值得 注意 的 是 这 样 不 能 覆盖 到 判定 谓词 的 值 为 FALSE 的 情况 。 因 此 ， 可 能 会 缺失 某 些 选择 
false 边 的 情况 所 需 的 必要 的 计算 ， 但 未 在 代码 中 出 现 。 


9.2.2 边 覆 盖 


流程 图 中 的 每 条 可 执行 边 都 在 某 测试 用 例 中 出 现 。 

特别 地 ， 在 此 覆盖 准则 下 ， 需 要 覆盖 待 测 程序 所 有 判定 谓词 的 true 和 false 分 支 (例如 让 
then-else 命令 ， 或 者 while 循环 ) 。 边 覆盖 准则 也 常 被 称 为 分 支 履 盖 或 者 判定 覆盖 。 

为 满足 边 覆 盖 准 则 ， 我 们 需要 在 测试 用 例 (9.1) 的 基础 上 增加 另 一 个 测试 用 例 ， 用 以 检查 
谓词 的 判定 值 为 FALSE 的 情况 ， 使 该 测试 用 例 在 判定 节点 选择 false 边 。 增 加 的 测试 用 例 为 ; 

fre 3, y 3,29 5,whds7} (9. 2) 

测试 用 例 (9.1) A (9.2) 将 判定 谓词 c=yAz>w 作为 一 个 单独 的 单元 来 覆盖， 而 并 未 作 
为 两 个 独立 的 条 件 来 考虑 。 后 一 个 测试 用 例 中 选择 false 出 边 是 因为 = 之 mw 不 能 被 满足 。 但 条 件 
c=y 可 能 是 错误 的 ， 例 如 应 该 是 x 宇 y， 当 x 之 y 时， 递减 z 的 语句 仍然 应 该 被 执行 到 ， 而 这 种 
情况 自前 未 能 被 测试 到 。 

在 对 布尔 运算 符 使 用 “短路 ”(short circuiting) 规则 的 程序 设计 语言 中 ， 将 判定 谓词 作为 一 
个 整体 来 测试 会 带 来 问题 。 在 该 规则 中 ， 形 如 AAB 的 表达 式 ， 当 A 的 值 为 FALSE 时 ， 整 个 表 
达 式 的 值 将 判定 为 FALSE， 而 不 需要 求 B 的 值 。 类 似 地 ， 形 如 AV B 的 表达 式 ， 当 A 的 值 为 
TRUE 时 ， 整 个 表达 式 的 值 将 判定 为 TRUE， 而 不 需要 求 B 的 值 。 以 判定 谓词 AV CBAC) 为 例 ， 
其 中 C 是 有 副作用 的 函数 调用 ， 函 数 的 返回 值 为 一 个 布尔 值 。 当 A 的 值 为 TRUE, RA ALB 的 
值 均 为 FALSE 时 ， 该 判定 谓词 的 两 个 分 支 均 被 执行 到 。 但 在 上 述 两 种 情况 下 ，C 都 没有 被 执 
行 到 。 

边 履 盖 准 则 的 另 一 个 缺点 是 仅 考虑 了 条 件 的 布尔 值 ， 如 条 件 z==y 可 以 通过 不 同 的 方式 置 为 
假 ， 增 加 >y 的 测试 用 例 并 不 能 反映 z< 的 情况 。 要 解决 最 少 运算 规则 所 引发 的 问题 ， 则 需 
要 更 加 严格 的 覆盖 准则 ， 如 边 /条 件 覆盖 或 组 合 履 盖 。 


9.2.3 条 件 覆盖 


每 个 判定 谓词 都 是 阐 单 的 一 阶 布尔 表达 式 的 组 合 。 它 包 括 两 个 表达 式 的 比较 ， 或 某 些 程序 
变量 韶关 系 的 应 用 。 如 果 一 个 可 执行 条 件 的 值 婚 可 以 是 TRUE 也 可 以 是 下 ALSE， 那么 它 在 某 些 
测试 用 例 中 被 计算 为 TRUE， 在 另 一 些 测试 用 例 中 则 被 计算 为 FALSE， 

对 条 件 覆 盖 ， 我 们 使 用 测试 用 例 (9, 2) 来 使 =y 的 值 为 TRUE H >w 的 值 为 FALSE。 
我 们 为 2=y 的 值 为 FALSE B. 2>w Wi TRUE 的 情况 增加 下 面 的 测试 用 例 ， 

(z3,y 4, ze 7 ,wh 5} (9. 3) 

值得 注意 的 是 在 测试 用 例 (9.2) 和 (9.3) H, 整个 判定 谓词 的 值 均 为 FALSE， 这 将 会 缺 
少 对 递减 操作 语句 的 检查 。 I 
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9.2.4 边 / 条 件 覆 盖 


此 覆盖 准则 要 求 所 有 可 执行 边 和 条 件 都 被 和 覆盖 到 。 

按照 边 /条 件 履 盖 准 则 ， 我 们 选择 测试 用 例 (9.1)、(9.2) 和 (9. 3)。 这 将 保证 判定 谓词 能 
取 到 真 和 假 的 输出 ， 而 且 每 个 独立 的 条 件 ， 即 x 三 y #lz >x, BRERA SAH TRUE 和 
FALSE, 


9.2.5 条 件 组 合 覆盖 


条 件 组 合 履 盖 与 条 件 履 盖 相 似 ， 但 条 件 组 合 履 盖 考 虑 的 不 是 每 个 单独 的 条 件 ， 我 们 要 求 每 
条 判定 谓词 的 所 有 布尔 值 组 合 方式 都 必须 出 现在 某 个 测试 用 例 中 。 

因此 ， 形 如 AA (BV C) 的 判定 谓词 ， 如 果 每 个 条 件 A、B 和 C 都 需要 被 独立 地 计算 为 
TRUE 和 FALSE， 则 我 们 需要 检查 2: — 8 种 组 合 。 如 果 这 样 的 判定 节点 在 流程 图 路 径 中 出 现 两 
次 ， 那 么 仅 考虑 这 两 个 判定 节点 就 有 8X8 一 64 种 可 能 的 组 合 。 当 然 ， 并 不 是 每 一 种 组 合 都 是 可 
以 满足 的 ， 因 为 某 些 条 件 之 间 可 能 有 依赖 关系 ， 如 当 B 为 TRUE 时， A 一 定 为 TRUE，。 

条 件 组 合 徐 盖 是 一 种 比 条 件 履 盖 更 为 严格 的 覆盖 准则 。 为 满足 条 件 组 合 履 盖 ， 需 要 在 测试 
FAR O.D., (9.2) 和 “(9.3〉 的 基础 上 增加 如 下 的 测 斌 用例， 使 r= y Meow 的 取 值 均 为 
FALSE, 

{zz3,yP4,zP5,whH 6} (9. 4) 

条 件 组 合 材 盖 准 则 的 主要 缺点 是 会 引起 测试 用 例 数量 爆炸 。 


9.2.6 Pee 


路 径 惟 盖 准 则 要 求 每 条 可 执行 路 径 都 被 一 个 测试 用 例 覆 盖 到 。 

不 幸 的 是 ， 一 段 给 定 代码 片段 的 路 径 数 量 可 能 是 非常 巨大 的 。 因 为 循环 可 能 会 引起 无 限 或 
者 数量 巨大 的 路 径 ， 所 以 我 们 不 能 要 求 测试 包括 循环 的 所 有 序列 。 

某 些 路 径 可 能 永远 不 能 被 执行 到 。 某 些 判 定 谓 词 或 者 简单 一 阶 公式 可 能 永远 不 能 计算 得 到 
指定 的 布尔 值 ， 某 些 代码 片段 也 可 能 是 不 可 达 的 〈 即 死 代码 ) 。 没 有 对 应 的 测试 用 例 来 覆盖 这 些 
不 可 满足 的 条 件 。 在 准备 测试 用 例 或 者 在 测试 过 程 中 ， 我 们 也 会 发 现 这 个 事实 。 总 而 言 之 ， 分 析 
系统 以 查找 死 代码 或 不 能 取 某 些 真 值 的 谓词 的 问题 ， 是 不 可 判定 的 。 在 准备 测试 或 者 测试 的 过 
程 中 ， 识 别 出 某 部 分 代码 不 能 被 执行 到 ， 本 身 就 是 关于 待 测试 程序 的 有 价值 信息 。 在 测试 过 程 
中 ， 可 以 检查 实际 达到 的 覆盖 度 。 履 盖 度 可 以 作为 测试 过 程 质量 的 一 个 反馈 ， 也 可 以 用 于 帮助 决 
定 是 否 需要 更 进一步 的 测试 。 随 后 ， 我 们 将 讨论 如 何 自 动 地 计算 测试 用 例 ， 该 技术 与 程序 的 演绎 
验证 中 所 使 用 的 技术 类 似 。 

基于 控制 流 的 测试 覆盖 技术 有 各 种 限制 。 首 先 ， 覆 盖 所 有 的 路 径 一 般 是 不 可 行 的 ， 很 难 达 到 
完全 覆盖 。 因 此 ， 一 些 潜在 的 错误 可 能 未 被 发 现 ， 它 们 可 能 隐藏 在 某 条 未 能 覆盖 到 的 路 径 中 。 另 
一 个 问题 是 即使 我 们 使 用 了 一 个 很 好 的 测试 套件 ， 也 仅 能 按照 流程 图 中 的 路 径 执 行 代码 。 在 测 
试 时 检测 路 径 覆 盖 情 况 并 不 总 像 直觉 上 所 认为 的 那么 简单 。 

使 用 结构 化 信息 来 覆盖 程序 可 能 会 由 于 代码 的 实际 编写 方式 (与 代码 应 该 的 编写 方式 形成 
对 照 ) 引起 偏差 。 例如， 以 两 个 执行 顺序 相同 的 指令 序列 为 例 ， 它 们 在 同一 判定 谓词 上 的 值 也 相 
间 ， 或 者 甚至 在 判定 谓词 中 每 个 条 件 的 取 值 也 都 相同 。 在 这 种 情况 下 ， 我 们 可 以 选取 一 个 测试 用 
例 来 代表 这 些 执行 ， 忽 略 其 他 的 测试 用 例 。 当 然 ， 仍 有 可 能 这 些 执行 序列 相同 的 测试 用 例 中 只 有 
一 个 能 发 现 错误 ,而 其 他 的 都 不 能 。 程 序 员 应 该 对 这 种 潜在 可 能 性 区 分 这 些 情况 ， 并 且 使 程序 在 
两 种 情况 下 执行 不 同 的 路 径 。 不 幸 的 是 ， 所 选取 的 覆盖 准则 可 能 导致 能 发 现 错误 的 执行 未 能 被 
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覆盖 到 。 

尽管 可 以 收集 到 一 些 现存 的 实验 统计 数据 ， 但 不 同 覆盖 准则 的 有 效 性 依然 是 难以 评估 的 。 
有 人 可 能 会 提出 覆盖 技术 应 该 使 用 概率 方法 (参见 9. 10 节 ) 来 分 析 。 然 而 ， 基 于 类 似 分 析 的 增 
加 程序 可 靠 性 的 技术 可 能 在 理论 上 的 价值 更 大 一 些 。 应 用 该 类 技术 最 大 的 障碍 是 通常 不 可 能 得 
到 程序 的 合理 概率 分 布 。 关 于 一 个 “普通 ”的 程序 是 什么 样子 的 ， 我 们 一 般 不 太 会 有 一 个 好 的 认 
识 ， 比 如 说 ， 在 执行 中 某 一 个 条 件 的 判定 值 为 TRUE 的 可 能 性 是 多 大 。 


9.2.7 不 同 覆盖 准则 的 比较 


不 同 覆盖 准则 间 有 一 些 明 显 的 关系 。 我 们 说 一 个 准则 包含 〈supsume) 另 一 个 ， 意 思 是 说 满 
足 前 者 一 定 可 以 保证 满足 后 者 。 这 意味 着 前 一 个 覆盖 准则 比 后 一 个 更 为 严格 ， 因 此 更 有 可 能 通 
过 增加 更 多 的 工作 量 来 发 现 错误 。 值 得 注意 是 ， 由 于 测试 用 例 选 择 的 随机 性 ， 一 个 满足 较为 宽松 
覆盖 准则 的 测试 集 可 能 会 发 现 一 些 能 满足 更 为 严格 覆盖 准则 的 测试 集 所 不 能 发 现 的 错误 。 

容易 发 现 ， 边 了 覆盖 是 包含 语句 履 盖 的 。 同 样 可 以 发 现 边 /条 一 
件 覆 盖 是 包含 边 履 盖 〈 因 此 也 包含 语句 获 盖 ) MARRY. | wema | [ge 

显而易见 ， 路 径 履 盖 包 含 边 履 盖 。 条 件 组 全 覆盖 包含 边 /条 
件 覆盖 (因此 也 包含 边 /条 件 覆 盖 所 包含 的 覆盖 准则 )。 路 径 覆 盖 
并 不 包含 条 件 组 合 覆盖 ， 内 为 我 们 可 能 不 需要 覆盖 到 判定 谓词 中 
的 所 有 条 件 就 能 执行 所 有 路 径 。 相 反 ， 满 足 条 件 组 合 覆 盖 也 不 一 
定 会 覆盖 到 所 有 的 路 径 因为 循环 的 原因 )。 

上 面 的 例子 可 以 说 明 条 件 获 盖 不 包含 边 覆 盖 ， 边 覆盖 也 不 包 
含 条 件 覆 盖 。 更 令 人 惊奇 的 是 ， 条 件 覆 盖 甚 至 不 包含 语句 覆盖 。 
这 是 由 可 能 的 死 代码 所 引起 的 。 

上 述 的 关系 如 图 9.2 所 示 ， 箭 头 开始 端的 覆盖 准则 包含 箭头 
指向 端的 覆盖 准则 。 


9.2.8 循环 覆盖 


上 面 的 上 柳 盖 准 则 《除了 穷尽 的 但 通常 在 实践 中 不 可 行 的 路 径 覆 盖 外 ) 均 未 能 充分 考虑 循环 
它们 没有 提供 遍历 一 个 循环 多 次 的 规定 。 下 面 是 一 些 用 于 测试 循环 的 特定 策略 ， 

° 检查 循环 被 跳 过 的 情况 。 

。 检查 循环 被 执行 一 次 的 情况 。 

” 检查 循环 被 执行 典型 次 数 的 情况 (其 难点 在 于 如 何 评判 什么 次 数 是 典型 的 )。 

° 如 果 循 环 次 数 的 边界 值 是 已 知 的 ， 假 设 为 次 ， 则 分 别 尝 试 执行 x 一 1、nn 和 nn 十 1 次 。 

当 待 测试 的 循环 中 存在 嵌 套 式 循环 时 ， 循 环 的 测试 问题 将 变 得 更 为 困难 。 测 试用 例 的 数量 
将 随 着 时 套 的 层 数 呈 指数 级 上 升 。 因 此 ， 测 试 带 息 套 的 循环 比 测试 独立 循环 的 充分 度 更 低 。 


9.3 数据 流 覆盖 准则 

数据 流 分 析 通 常 在 对 程序 进行 静态 分 析 的 编译 器 中 使 用 。 也 就 是 说 ， 基 于 其 结构 分 析 代码 ， 
而 不 需要 先 运 行 它 。 

一 个 使 用 数据 流 分 析 来 检查 的 常见 问题 是 某 个 变量 在 某 个 表达 式 中 被 不 恰当 地 ) 使 用 前 
未 被 初始 化 。 这 可 以 通过 后 向 搜索 程序 的 流程 图 来 完成 。 当 一 个 变量 在 用 于 计算 某 个 表达 式 的 
语句 例如， 赋值 语句 或 判定 谓词 》 中 时 ， 它 是 活跃 的 live)。 在 后 向 遍历 流程 图 的 过 程 中 ，-- 
个 变量 如 果 未 在 当前 的 流程 图 节点 中 被 赋值 ， 该 变量 就 继续 保持 活 嘱 。 同 样 ， 如 果 在 同一 个 语句 

















图 9.2 覆盖 准则 的 层次 关系 图 
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中 一 个 变量 既 被 使 用 ， 也 被 赋值 ， 如 表达 式 z := 二 zx 十 1]， 则 该 变量 也 保持 活跃 。 如 果 变 量 被 赋值 ， 
但 没有 被 使 用 ， 它 就 死 了 (dead) 。 对 一 个 判定 节点 而 言 ， 将 会 有 两 种 可 能 性 ， 一 个 变量 如 果 在 
该 节点 的 谓词 表达 式 中 被 使 用 ， 或 者 在 至 少 一 个 后 继 节点 中 被 使 用 ， 它 就 是 活跃 的 〈 注 意 我 们 的 
分 析 是 从 后 继 节点 反 向 到 判定 节点 进行 的 ) 。 如 果 在 达到 程序 的 开始 点 时 仍 有 一 些 变量 是 活跃 
的 ， 那 么 这 些 变量 可 能 会 在 未 初始 化 前 被 使 用 。 当 然 ， 由 于 没有 运行 代码 ， 这 里 面 可 能 有 一 些 是 
RR: 某 些 搜索 路 径 可 能 并 没有 实际 的 执行 路 径 与 之 对 应 。 编 译 器 仍 有 可 能 产生 警告 。 
覆盖 准则 的 目标 是 在 对 待 测 代 码 保 持 较 好 错误 发 现 率 的 同时 最 小 化 测试 用 例 的 数量 。 上 一 
节 所 讨论 的 基于 控制 流 的 覆盖 准则 的 一 个 缺点 是 生成 的 测试 用 例 与 后 面 程序 数据 的 处 理 方式 并 
不 需要 一 致 。 在 9.2 节 基 于 控制 流 的 覆盖 准则 中 ， 可 能 未 能 包含 某 些 执行 序列 ， 其 中 某 个 变量 为 
了 特殊 目的 而 被 赋予 基 个 值 ， 但 随后 该 值 被 误 用 。 针 对 控制 流 覆 盖 准 则 〈 除 路 径 覆 盖 外 ) ， 所 选 
取 的 测试 用 例 可 能 根本 未 体现 出 为 某 变 量 设 置 了 一 个 特定 的 值 ， 并 在 随后 使 用 或 检查 该 值 的 内 
容 等 。Rapps 和 Weyuker [121] 提出 了 基于 变量 的 定义 点 (赋值 和 使 用 点 间 路 径 的 几 种 覆盖 
技术 。 
我 们 给 出 一 些 为 表述 数据 流 和 覆盖 准则 所 需要 的 简单 定义 。 对 每 个 变量 z， 在 流程 图 (对 应 于 
程序 中 的 语句 和 条 件 ) 中 定义 如 下 的 几 个 节点 集合 : 
deflz) BHA z 赋值 的 节点 (例如 ， 在 一 个 赋值 语句 或 者 输入 语句 中 )，。 
puse(z) 是 在 一 个 谓词 表达 式 中 使 用 z 的 节点 (例如 ， 在 一 个 过 语句 或 while 语句 中 )。 
cuse (z) 是 指 在 一 个 除 谓词 表达 式 外 其 他 类 型 表达 式 中 使 用 xz 的 节点 例如， 在 一 个 为 菜 
变量 赋值 的 表达 式 中 ) 。 
def-clear (z) 路 径 指 的 是 仅 包 含 z 未 定义 的 节点 的 路 径 。 对 每 个 节点 s€ def(zx)， 我 们 根据 
随后 对 变量 z 使 用 方式 的 差异 定义 如 下 两 组 节点 : 
dpu (s, z) 包含 这 样 的 一 些 节 点 ;， 其 中 有 一 条 def-clear (zx) RAMs Bs’ (除了 第 一 个 
节点 ， 因 为 sE def(z)), B s 属于 puse (z)。 也 就 是 说 ， 有 一 条 路 径 从 的 赋值 处 开 
始 ， 当 z 未 被 重新 赋值 时 继续 前 进 ， 当 z 在 一 个 谓词 表达 式 中 被 使 用 时 结束 。 
deu (s, z) 包 会 这 样 的 一 些 节点 s， 其 中 有 一 条 def-clear (z) BEM s Bs’, H s' 属 
于 cuse (z), 
基于 上 述 定义 ， 我们 可 以 定义 不 同 的 数据 流 履 盖 准 则 。 每 个 覆盖 准则 定义 了 在 测试 套件 中 
应 该 包含 的 路 径 。 因 此 ， 对 每 个 程序 变量 z 和 对 每 个 局 于 def (z) 的 语句 s， 除了 第 一 个 节点 s 
外 ， 需 要 至 少 包 含 如 下 的 def-clear (xz) 路径 作 为 测试 套件 中 的 子路 径 ; 
全 定义 (all-defs) ; 包含 到 dpu(s, z) 或 dcu(s，z) 中 某 节 点 的 一 条 路 径 。 
全 谓词 引用 (all-p-uses): 到 dpuls, z) 中 的 每 个 节点 均 包 含 一 条 有 路径。 
全 计算 引用 /部 分 谓词 引用 (all-c-uses/some-p-uses); 到 dcu(s, z) 中 的 每 个 节点 均 包 含 一 
条 路 径 ， 但 如 果 dcu(s, z) 是 空 的 ， 则 至 少 包含 一 条 到 dpu(s, z) 中 某 节点 的 路 径 。 
全 谓词 引用 /部 分 计算 引用 Call-p-uses/some-c-uses) : Aj dpu(s, z) 中 的 每 个 节点 均 包含 一 
条 路 径 。 但 如 果 dpuls, z) EZM, 则 至 少 包含 一 条 到 dcu(s, x) 中 某 节 点 的 路 径 。 
全 引用 (all uses): 包含 到 dpuls, z) Al deuls, x) 中 每 个 节点 的 一 条 路 径 。 
全 定义 引用 路 径 Call-du-paths); 包含 到 dpuls, <) #Udcu(s, z) 中 每 个 节点 的 所 有 有 路径，。 
除 第 一 个 和 最 后 一 个 节点 可 能 相同 外 ， 这 些 路 径 不 应 包含 环 。 这 很 重要 ， 因 为 诸如 xz: 二 
Zz 十 1 的 赋值 语句 在 某 表 达 式 中 定义 并 使 用 了 z; 在 此 赋值 语句 中 ， 表达 式 x 十 1 中 的 cuse 代表 的 
是 前 面 对 该 变量 的 定义 ， 而 不 是 当前 语句 。 因 此 ， 我 们 允许 前 面 的 定义 再 次 出 现在 同样 的 赋值 语 
名 中。 数据 流 覆 盖 准 则 的 层次 关系 如 图 9. 3 所 示 。 
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9.4 传播 路 径 条件 

9. 2 节 中 所 给 出 的 测试 用 例 的 示例 从 不 同 的 途径 来 覆盖 图 9. 1 中 的 代码 片段 ， 描 述 的 方式 是 
在 每 条 路 径 的 判定 节点 前 为 变量 赋值 。 采 用 这 样 
的 方式 是 为 了 更 好 地 说 明 不 同 覆 盖 准 则 间 的 差 
异 。 然 而 ， 在 测试 用 例 的 中 部 给 出 变 基 的 值 显然 
不 是 一 种 合理 的 方式 。 对 测试 用 例 可 以 更 为 合理 
地 描述 ， 如 通过 列 出 路 径 和 程序 变量 的 初始 条 
件 。 如 果 一 条 路 径 包含 了 某 些 用 户 输 入 ， 那 么 每 
个 测试 用 例 应 该 同样 根据 沿 着 该 测试 路 径 按照 要 
求 的 输入 顺序 说 明 需 要 用 户 输入 的 值 。 如 果 路 径 
是 从 待 测试 程序 除 人 口 点 以 外 的 其 他 位 置 开 始 
的 ， 则 也 需要 提供 开始 的 位 置 。 这 些 值 需要 保证 
测试 沿 着 流程 图 中 所 选择 的 路 径 执行 。 





全 定义 引用 
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全 引用 覆盖 








全 计算 引用 /部 分 全 谓词 引用 /部 分 
谓词 引用 覆盖 计算 引用 履 盖 








首先 考虑 语句 覆盖 准则 。 假 定 选取 一 组 包含 全 定义 覆盖 awasna 
了 待 测 程序 所 有 语句 的 路 径 。 这 可 以 使 用 基于 图 


Postman Tour) ， 该 算法 将 在 9.9 节 中 进一步 讨 
论 。 对 每 一 条 路 径 ， 我 们 需要 找到 一 个 测试 用 例 ， 在 路 径 开 始 处 以 为 各 个 变量 赋值 的 形式 来 保证 
执行 该 路 径 。 在 某 些 情况 下 ， 这 样 的 变量 赋值 并 不 存在 。 例 如 ， 某 流程 图 中 的 一 条 路 径 为 变量 x 
赋值 2， 然 后 判定 是 否 满足 zx 盖 7， 并 活着 判定 的 true 分 支 继 续 处 理 。 静 态 分 析 可 以 对 发 现 这 样 
的 路 径 提供 帮助 。 此 外 ， 它 们 也 可 以 在 测试 过 程 中 被 发 现 。 
考虑 不 包含 输入 语句 的 流程 图 这 种 较为 简单 的 情况 。 我 们 可 以 在 给 定 路 径 的 开始 处 计算 条 
件 ， 以 保证 执行 给 定 路 径 。 然 后 我 们 可 以 选择 满足 这 条 路 径 前 置 条 件 的 值 并 用 于 测试 该 路 径 。 下 
面 的 算法 用 于 生成 一 条 路 径 的 前 置 条 件 7。 它 保证 当 从 某 给 定 路 径 的 开始 处 执行 ， 到 给 定 路 径 的 
结束 ， 某 给 定 条 件 应 该 得 到 满足 。 通 过 该 算法 计算 出 的 条 件 y 实 际 上 是 最 弱 前 置 条 件 。 也 就 是 
说 ， 该 条 件 描述 了 所 有 能 保证 执行 该 给 定 路 径 并 在 结束 时 满足 p 的 程序 变量 的 赋值 。 
该 算法 对 给 定 的 路 径 进 行 后 向 遍历 。 它 从 后 置 条 件 ç 开始 ， 并 在 路 径 中 的 每 个 点 计算 最 弱 
( 即 最 概括 的 ) 条 件 来 完成 在 最 后 满足 p 的 路 径 。 我 们 在 7. 1 节 中 看 到 执行 赋值 表达 式 v :二 =e 的 
最 弱 前 置 条 件 并 达到 一 个 满足 gp 的 状态 是 g[e/v]， 即 o 中 的 每 个 自由 出 瑰 被 e 替换 。 遍 历 判定 
谓词 p 的 true 边 的 最 弱 前 置 条件 是 p 人 9。 这 是 因为 计算 谓词 表达 式 的 真 值 不 改变 任何 变量 〈 除 
了 此 处 不 包含 的 程序 计数 器 外 ) ， 因 此 g 在 它 的 执行 前 必须 也 被 满足 。 此 外 ， 为 了 成 功 执行 测试 ， 
p 必须 被 满足 。 类 似 地 ， 遍 历 谓 词 判 定 p 的 false 边 的 最 弱 前 置 条 件 是 ~p A o. 
以 一 个 节点 序列 E= s.s. s, 为 例 ， 对 路 径 上 的 每 个 节点 s 我 们 定义 如 下 的 符号 ; 
type (s) 是 s 中 转换 的 类 型 。 类 型 包括 开始 (begin) 、 结 束 Cend), 判定 (decision), WH 
(assign), 
proc(s,) Æ s, 所 属 的 进程 。 
pred(s,) 是 s 的 谓词 表达 式 ， 在 s 是 一 个 判定 节点 的 情况 下 。 
branch(s,) 是 s: 出 边 的 标签 Crue 或 false), TE s 是 一 一 个 判定 节点 且 在 该 路 径 上 有 一 个 属于 
同一 个 进程 的 后 继 节 点 的 情况 下 。 否 则 ， 该 该 节点 的 出 边 标签 是 未 定义 的 (undefined)。 
注意 如 果 一 条 路 径 以 一 个 判定 节点 为 结束 ， 四 访 和 点 的 出 边 不 包含 在 该 路 径 中 。 在 这 
种 情况 下 ， 该 节点 的 判定 谓词 对 路 径 条 件 的 计算 不 产生 影响 。 
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expr(s;) 是 赋 给 某 变量 的 表达 式 ， 当 s 是 一 个 赋值 说 句 的 情况 下 。 
var(s,) 是 被 赋值 的 变量 ， 当 s 是 一 个 赋值 语句 的 情况 下 。 
pLe/vj 是 一 个 谓词 p, HP MARE oH CAH) 出现 都 被 表达 式 。 所 替代 。 


for i :=n to 1 step -1 do 
begin 
case type(s;) do 
decision=> 
case branch(s;) do 
true=> 
current_pred *=current_pred A pred(s,) 
false> 
current_pred *=current_pred \ 7 pred(s,) 
unde fined> 
current_pred : = current_ bred 
end case 
assign= 
current_ pred *=current_pred Lexpr(s,) /var(s,) | 
begin, end=no_op 
end case; 
simplify (current_pred) 
end 

WH simplify 用 于 简化 算法 主 循环 每 次 迭代 后 所 获取 的 公式 。 在 简化 过 程 中 使 用 了 一 些 启发 
式 的 方法 ， 例 如 ， 结 合 z 十 3 一 2 中 的 常量 ， 得 到 z 十 1。 对 公式 进行 简化 是 一 个 难题 。 可 以 证 明 ， 
在 一 般 情况 下 ， 一 个 给 定 的 整数 一 阶 公 式 (或 者 其 他 常用 的 结构 ) 与 另 一 个 简单 公式 true 或 
false 是 否 等 价 是 不 可 判定 的 参见 [95])。 前 者 表示 该 路 径 的 执行 独立 于 程序 变量 的 值 ， 后 者 
表示 路 径 根本 不 能 执行 。 但 是 ， 该 问题 对 某 些 特定 的 结构 是 可 判定 的 。 例 如 ， Presburger 算术 ， 
即 自 然 数 (或 整数 ) 的 加 法 、 减 法 和 比较 (参见 3.6 节 )。 

给 定 一 条 路 径 ， 我 们 将 current_pred=true 作为 该 路 径 的 后 置 条 件 ， 并 使 用 上 述 算法 。 该 算 
法 仅 找 到 一 个 前 置 条 件 ， 但 不 能 找到 一 个 满足 该 前 置 条 件 的 赋值 。 

以 上 述 搞 自 图 9. 1 中 的 流程 图 为 例 ， 为 了 徐 盖 y 递增 语句 和 xz 递减 语句 ， 我 们 需要 沿 着 判定 
节点 的 true 边 由 3 个 节点 所 构成 的 路 径 。 应 用 上 述 算法 ， 我 们 从 后 置 条 件 current_pred= true JF 
始 。 所 选 路 径 的 最 后 一 个 节点 为 = 递减 语句 二 :一 z 一 1， 即 一 个 赋值 节点 。 然 后 current_pred 得 
AA truelz—1/x] A true, 继续 沿 着 该 路 径 进 行 反 向 遍历 ， 我 们 到 达 判 定 节点 ， 该 节点 的 谓词 
表达 式 为 c=yAz>w, AWANT true 边 ， 我 们 将 该 谓词 的 值 与 current_ pred PW true 组 合 ， 
将 c= y À >w (EH current_pred 的 新 值 。 最 后 ， 我 们 经 过 y 递增 节点 。 因 此 ，current_pred 变 
Ac=yNz>w [y+1/y], B r=y+1Az>w, IRA 

{re 25h l,z 4,wPh 3) (9. 5) 
满足 后 一 个 路 径 前 置 条 件 。 值得 注意 的 是 这 个 赋值 对 应 于 测试 用 例 (9. 1)， 那 是 根据 判定 之 前 而 
不 是 路 径 开 始 处 的 变量 的 值 给 定 的 。 

对 边 覆 盖 的 测试 套件 可 以 采用 类 似 的 方法 计算 ， 选择 能 覆盖 每 个 条 件 的 true 和 false 边 的 路 
径 。 例 如 ， 上 一 个 例子 中 包含 赋值 语句 y :一 y 十 1 和 具有 false 出 边 的 判定 节点 的 两 个 节点 的 路 
径 的 路 径 条 件 计算 如 下 。 我 们 从 current_pred=true 开始 。 经 过 判定 节点 的 false 出 边 ， 其 谓词 
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表达 式 为 r=yAz>w, RNB current_pred=trueA“r=yAz>w), WUHAN (zy V 
(z<x), Bit y 递增 节点 ， 我 们 得 到 current_pred 二 (C(x 关 y) V le KwLyti/y], BH 
((z 天 ?十 1) V(xz 志 w))。 对 应 于 前 述 测 试用 例 (9.2〉 的 一 个 赋值 是 : 
{D3,yP2,zP 5,wH7} (9. 6) 
测试 用 例 并 不 是 必须 从 待 测 程序 的 入 口 处 开始 。 它 们 可 以 通过 指定 程序 的 变量 的 值 (包括 
程序 计数 器 ) ， 在 某 些 中 间 的 点 开始 。 强 制 测 试用 例 总 是 从 程序 的 人 口 开 始 ， 会 使 得 测试 更 倾向 
于 覆盖 靠近 人 口 点 的 语句 。 这 可 能 会 引入 更 多 不 必要 的 测试 开销 。 另 一 方面 ， 不 从 人 口 点 开始 测 
试用 例 存 在 风险 ， 可 能 该 测试 用 例 的 开始 状态 在 实际 执行 中 永远 不 可 能 被 执行 到 。 在 某 些 特定 
状况 下 ， 可 能 会 强制 测试 用 例 从 属于 死 代码 的 语句 开始 测试 。 当 然 ， 从 非 人 口 点 开始 测试 一 个 程 
序 还 需要 增加 特定 的 代码 以 提供 支持 。 


练习 9.4.1 修改 上 述 算法 以 支持 条 件 履 盖 。 (提示: 通过 修改 判定 谓词 来 预 处 理 所 选 定 的 
路 径 。) 


9.4.1 示例 : GCD 程序 


下 面 的 Pascal 程序 接受 两 个 自然 数 zl 和 z2， 并 计算 它们 的 最 大 公约 数 (GCD, MEKK 
能 被 两 个 数 整除 的 自然 数 。 在 计算 的 最 后 将 结果 存储 在 
变量 zl 中 (同样 也 存储 在 z2 中 ， 因 为 在 结束 时 zl 一 
22), 

while not x1=2x2 do 

if z=1>z2 then rl t=21—22 
else x2 :=zxz2—z1 

end 

该 程序 可 以 转换 为 如 图 9.4 所 示 的 流程 图 。 我 们 使 
FABRE & + sir Soy Ss Say Et 55 Soy 39s MAES, 
Sor $s 来 覆盖 该 程序 的 所 有 边 。 

可 以 根据 上 述 算法 计算 每 条 路 径 的 路 径 条 件 。 我 们 | i 
用 一 个 表 来 展示 这 个 计算 过 程 。 该 计算 过 程 是 从 每 个 序 
列 的 结尾 以 后 置 条 件 true 开始 反 向 计算 的 。 然 后 在 每 一 图 9.4 GCD 程序 的 流程 图 
步 后 算 条 件 根 据 增加 的 一 条 语句 进行 相对 比 ， 计 算出 一 个 前 置 条 件 。 然 后 对 条 件 进行 简化 。 执 
行路 径 & 的 过 程 中 所 计算 出 的 条 件 如 表 9. 1 所 示 。 





练习 9.4.2 I & Fl ë, 提供 类 似 的 表格 。 为 路 径 &, 7 Ss Soy $39 $49 Spo S39 Ss 提供 一 
个 表格 。 


表 9.1 执行 路 径 5 所 计算 出 的 条 件 


° 
asz 


练习 9. 4.3 找到 一 组 路 径 和 该 组 路 径 的 开始 条 件 ， 从 而 保证 图 7.2 中 的 程序 满足 边 覆 盖 
准则 。 
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94.2 含有 输入 语句 的 路 径 


上 述 测试 用 例 中 包含 赋值 和 判定 语句 ， 但 不 包含 要 求 用 户 提 供 输入 的 语句 。 为 了 构造 包含 
通过 命令 input z 请 求 用 户 输入 的 测试 用 例 ， 其 中 z 是 某 个 程序 变量 ， 我 们 需要 对 上 述 算法 稍 作 
修改 [59j。 与 前 面 的 方式 一 样 ， 我 们 后 向 遍历 所 选取 的 路 径 〈 根 据 所 选择 的 覆盖 准则 ) 。 当 磁 到 
一 个 变量 z 输 入 命令 时 ， 我们 观察 目前 所 计算 出 的 前 置 条 件 ， 这 是 从 当前 状态 遍历 到 结束 位 置 
所 需要 满足 的 条 件 。 我 们 需要 为 x 选择 一 个 值 以 满足 pgp， 即 我 们 需要 为 x 提供 一 个 满足 p 的 输入 
Í. Syce 是 中 (自由 ) 出 现 的 所 有 其 他 变量 。 

然后 ， 我 们 需要 选择 一 个 x 的 输入 值 ， 使 了] yy… dso 成立。 再 注意 一 下 ， 如 何 找到 一 个 这 
样 的 值 在 一 般 情况 下 是 不 可 判定 的 。 我 们 选择 这 样 的 值 *。 将 这 个 值 记录 为 输入 值 ， 当 测试 用 例 
到 达 当 前 输入 点 时 必须 由 测试 人 员 提 供 。 路 径 中 的 该 输入 命令 被 蔡 换 为 赋值 语句 z :一 nx (因为 这 
实际 上 是 这 个 测试 用 例 中 要 发 生 的 结果 ) 。 因 此 ， 输 入 语句 的 前 置 条 件 是 gLn/z]。 现 在 算法 像 以 
前 一 样 继续 人 遍历。 注意 在 这 种 方式 下 ， 输 入 值 是 反 序 生成 的 ， 即 最 后 的 输入 最 先生 成 。 

练习 9. 4.4 修改 本 章 中 计算 路 径 条 件 的 算法 ， 以 支持 处 理 下 面 的 情况 C59]: 

。 并 发 ， 即 多 许多 进程 交错 运行 的 路 径 ， 且 进程 间 存 在 共享 变量 。 注 意 在 这 种 情况 下 ， 由 于 可 

能 的 非 确定 性 ， 当 控制 在 初始 位 置 时 ， 计 算出 的 前 置 条 件 不 能 强制 执行 指定 的 交错 路 径 ， 允 
许 执行 指定 的 交错 路 径 ， 作 为 非 确定 性 选择 的 其 他 交错 路 径 也 可 能 会 被 选择 执行 。 
。 消息 传递 。 


95 等 价 类 划分 

在 规约 和 验证 中 通常 将 执行 划分 成 多 个 无 差别 的 执行 集合 。 然 后 ， 从 每 一 个 集合 中 至 少 选 
取 一 个 序列 ， 而 不 是 处 理 所 有 的 执行 。 这 通常 可 以 简化 测试 和 验证 的 过 程 。 

在 演绎 和 自动 两 种 验证 过 程 中 ,我 们 有 时 在 从 同样 的 偏 序 执行 得 到 的 交错 序列 之 间 使 用 等 
价 关系 。 给 定 规约 通常 不 区 分 这 些 交 错 序列 。 在 这 些 情况 下 ,我 们 可 以 利用 序列 之 间 的 等 价 关系 
以 提供 一 个 更 方便 的 证 明 系 统 ， 人 允许 只 对 某 些 交错 序列 进行 推理 [76，55，113，142] 

在 测试 中 也 使 用 与 序列 间 等 价 性 的 类 似 原理 。 与 构造 覆盖 准则 的 动机 相同 ， 即 检查 一 个 程 
序 的 所 有 执行 是 不 切实 际 或 者 是 不 可 能 的 。 我 们 可 以 将 执行 归 为 等 价 类 ， 同 一 个 等 价 类 中 的 序 
列 要 么 都 没有 错误 ， 要 么 都 含有 相同 的 错误 。 

等 价 类 划分 测试 的 过 程 在 很 大 程度 上 是 非 形式 化 的 。 我 们 首先 使 用 一 个 系统 的 输入 规约 或 
者 初始 条 件 。 我 们 并 不 显 式 地 形成 执行 的 等 价 类 ， 而 是 尝试 猜测 测试 每 个 等 价 类 的 输入 值 ， 并 将 
输入 值 收集 到 一 起 ， 形 成 测试 套件 。 假 定 规约 指出 必须 满足 条 件 组 p,，. .. pe WARTA 
P 将 执行 集合 划分 为 满足 该 条 件 和 不 满足 该 条 件 的 两 个 集合 〈 当 然 ， 我 们 希望 后 一 个 集合 是 空 
的 )。 该 条 件 组 共 将 执行 分 为 2" 个 类 ， 在 每 个 类 中 一 些 条 件 得 到 满足 ， 而 另 一 些 条 件 不 满足 。 

由 于 等 价 类 的 数目 可 能 十 分 巨大 ， 我 们 并 不 希望 为 所 有 的 类 都 提供 表示 。 另 外 ， 我 们 更 愿意 

”为 一 个 或 者 少量 不 满足 条 件 的 类 提供 表示 ， 与 包含 了 很 多 违反 条 件 的 测试 用 例 相 比 ， 那 些 仅 包 
含 一 个 违反 条 件 的 测试 用 例 更 好 。 这 是 因为 用 前 一 种 方法 可 能 很 难 标 出 同样 执行 中 的 特定 错误 
的 精确 位 置 。 我 们 尝试 猜测 出 可 能 使 单个 〈 或 少量 ) 条 件 失 效 的 测试 用 例 的 输入 值 。 另 外 ， 我 们 
还 尝试 猜测 满足 所 有 条 件 的 测试 用 例 。 


9.6 待 测 代码 预 处 理 


测试 人 员 ， 或 者 程序 员 自身 ， 可 能 需要 为 测试 做 一 些 特殊 的 准备 ， 包 括 对 代码 的 修改 。 这 样 
的 预 处 理 有 助 于 测试 过 程 的 自动 化 ， 在 测试 过 程 中 保持 追踪 测试 结果 和 统计 数据 。 预 处 理 待 测 
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试 软件 包含 创建 一 个 环境 来 支持 测试 ， 通 常 称 做 测试 框架 (test harness) 。 增 加 的 代码 与 原 有 的 
代码 一 起 自动 运行 测试 用 例 并 检查 测试 结果 的 正确 性 。 这 可 能 还 包含 为 程序 变量 赋 特 定 的 值 ， 
并 强制 程序 从 特定 的 位 置 开始 运行 (不 一 定 是 初始 状态 》。 

对 代码 的 修改 可 以 为 覆盖 的 质量 提供 信息 。 当 运行 不 同 的 测试 时 ， 在 二 级 存储 中 分 配 表格 
来 保存 信息 。 然 后 这 些 表格 被 用 于 准备 测试 报告 。 一 个 表格 可 以 包含 程序 中 每 条 语句 的 人 口 之 
类 的 信息 。 当 执行 对 应 的 语句 时 ， 增 加 的 代码 用 于 更 新 每 个 人 口 。 在 测试 结束 后 ， 表 格 可 以 用 于 
指导 诊断 是 否 达 到 了 完全 窗 盖 《在 这 种 情况 下 是 指 语句 覆盖 ) 。 如 果 没 有 ， 则 增加 新 的 测试 用 例 ，- 
并 重复 测试 过 程 。 

可 以 在 编译 时 采用 与 标准 编译 器 (例如 使 用 UNIX cc -g 命令 编译 C 程序 ) 增加 调试 信息 相 
同 的 方式 来 自动 增加 这 样 的 代码 。 与 量子 物理 中 的 海 森 堡 原理 《Heisenberg principle) 一 样 ， 这 
样 运行 测试 会 修改 待 测 对 象 的 行为 。 新 增 的 代码 会 减 慢 程序 的 运行 ， 并 改变 待 测 程序 的 内 存 分 
配 。 但 除了 某 些 特殊 的 情况 外 ， 如 测试 时 间 关 键 的 嵌入 式 系统 ， 这 并 不 是 个 问题 。 

可 以 在 待 检查 代码 中 插入 断言 。 新 增 代码 负责 检查 这 些 断 言 ， 如 果 运 行 时 断言 失效 则 通知 
测试 人 员 。 通 过 这 种 方式 ， 一 旦 这 样 的 断言 被 违背 ， 则 会 通知 测试 人 员 ， 从 某 个 给 定 的 状态 开始 
执行 的 待 测 程序 违反 了 假定 的 程序 变量 间 的 关系 。 我 们 可 以 推广 上 述 技术 ， 在 代码 中 的 不 同位 
置 增加 多 处 断言 ， 来 检查 程序 是 否 违 反 了 安全 属性 。 新 增 的 代码 依靠 测试 过 程 中 成 功 和 失败 断 
言 的 结合 来 判断 是 否 有 安全 属性 被 违反 。 

下 面 是 一 些 辅助 测试 过 程 的 不 同类 型 的 专用 软件 包 ， 

测试 用 例 生 成 。 这 些 工具 公 许 为 系统 建 模 ， 然 后 使 用 模型 并 根据 一 定 的 覆盖 准则 来 自动 生 
成 测试 集 。 

履 盖 评估 。 这 样 的 工具 检查 指定 测试 套件 关于 给 定 覆 盖 准 则 所 达到 的 覆盖 度 。 

测试 执行 。 这 些 工 具 用 于 在 待 测 程序 上 执行 测试 用 例 ， 并 报告 测试 结果 。 它 们 可 能 包含 与 系 
统 的 接口 ， 如 通过 通信 队列 、 因 特 网 或 者 文件 系统 。 另 一 种 可 能 是 测试 执行 也 包含 了 对 待 测 系统 
的 编译 ， 以 包含 如 本 节 早 些 时 候 所 述 的 运行 测试 所 需 的 额外 代码 。 

测试 管理 。 这 些 工具 维护 不 同 的 测试 套件 ， 进 行 版 本 控制 ， 并 生成 测试 报告 。 运 行 一 个 甚至 
多 个 测试 时 可 以 使 用 测试 执行 工具 ， 但 这 往往 是 不 够 的 。 测 试 的 结果 应 该 被 仔细 地 加 以 记录 并 
存档 。 浏 试用 例 需 要 仔细 加 以 维护 ， 以 便于 修改 系统 时 可 重复 进行 回归 测试 。 


97 检查 测试 套件 


测试 很 少 保证 能 发 现 所 有 其 至 部 分 设计 和 实现 的 错误 。 一 个 度量 测试 套件 质量 的 方法 是 使 
用 代码 覆盖 度 分 析 。 这 是 根据 所 选取 的 覆盖 准则 针对 代码 比较 测试 套件 完成 的 。 例如， 可 以 检查 
语句 或 者 边 被 覆盖 的 百分比 。 比 较 的 结果 是 对 履 盖 情况 的 量化 度量 ， 并 指出 程序 的 哪些 部 分 (如 
语 外， 条件) 需要 增加 更 多 的 测试 用 例 来 运行 。 在 某 些 情况 下 ， 禾 盖 度 分 析 甚 至 可 以 找到 那些 为 
达到 期 望 的 覆盖 度 可 能 不 需要 的 宛 余 的 测试 用 例 。 

在 本 章 所 描述 的 获 盖 策略 中 ， 没 有 一 种 能 够 保证 测试 是 完备 的 。 如 果 一 个 程序 王 通 过 了 -一 
组 测试 ， 很 难 估计 测试 过 程 的 质量 。 下 面 这 个 简单 的 思路 能 够 帮助 评估 测试 套件 的 质量 ， 

如 果 一 个 测试 套件 对 两 个 不 同 的 程序 报告 了 相同 的 结果 ， 那 么 这 个 测试 套件 很 可 能 是 

不 够 充分 的 。 

这 是 基 于 不 同 的 程序 很 可 能 进行 不 同 的 计算 这 个 事实 而 得 出 的 结论 。 这 个 思路 用 在 了 交 异 
分 析 (mutation analysis) 中 [25]。 给 定 一 个 待 测 程序 已 ， 生 成 不 同 的 变异 体 ， 即 该 程序 的 不 同 
变化 版 本 。 变 异体 的 出 现 源 自 审查 过 程 中 产生 的 问题 ， 或 者 是 通过 结构 变化 〈 如 改变 标签 》 或 者 
替换 比较 符号 和 人 逻辑 运算 符 。 u 
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P 的 测试 用 例 被 依次 用 于 每 一 个 变异 体 P' 。 如 果 某 些 测 试用 例 在 PAP 上 行为 不 同 ， 则 变 
异体 已 死亡 。 在 变异 分 析 结 束 后 ， 如 果 相 当 数 量 的 变异 体 仍然 活 牙 ， 则 说 明 测 试 套 件 不 恰当 : 
没有 理由 相信 任何 一 个 活跃 的 变异 体 P 比 原来 的 程序 P 正确 性 低 ， 相 反 ， 有 很 好 的 理由 相信 P 
或 已 是 不 正确 的 。 当 然 ， 即 使 已 通过 了 所 有 的 测试 ， 且 杀 死 了 所 有 的 变异 体 ， 变 异 分 析 也 不 能 
保证 待 测 程序 已 没有 错误 。 


98 组合 性 

大 型 软件 通常 由 多 个 团队 共同 开发 ， 每 个 团队 负责 部 分 代码 ， 这 样 可 以 加 快 开发 速度 。 因 为 
不 局 的 代码 片段 可 以 独立 开发 ， 所 以 相同 的 原理 可 以 应 用 于 软件 测试 。 软 件 测试 过 程 通常 在 开 
发 团队 完成 其 工作 前 就 开始 了 。 

这 种 组 合 方式 的 另外 一 个 好 处 是 减 小 了 待 测 软件 的 规模 ， 以 允许 更 好 地 管理 软件 的 复杂 性 。 
这 允许 测试 人 员 将 注意 力 只 集中 在 代码 所 要 求 的 部 分 特性 上 。 另 一 个 优势 是 在 代码 的 一 小 部 分 
中 定位 错误 源 会 更 加 精确 。 

使 用 这 一 方法 的 主要 挑战 在 于 程序 的 不 同 部 分 之 间 是 存在 交互 关系 的 。 这 使 得 在 代码 的 其 
他 部 分 没有 为 测试 做 好 准备 时 ， 仅 对 代码 的 一 个 部 分 进行 测试 是 很 困难 的 。 假 设 由 不 同 团队 开 
发 不 同 的 多 个 过 程 ， 它 们 之 间 存 在 调用 层次 关系 。 如 图 9. 5 所 示 的 调用 层次 关系 就 是 这 样 的 一 个 
例子 。 其 中 主 过程 是 A。 它 可 以 调用 过 程 B, CAD. 过程 可 以 调用 EEF， W C =I D 可 以 调 
BF. 

为 了 测试 一 个 调用 了 过 程 立 的 过 程 X， 我 们 可 以 使 用 的 测试 
套件 ， 其 中 对 Y 的 调用 被 视 做 一 个 原子 操作 。 如 果 Y 在 测试 时 还 不 
可 用 ， 我们 可 以 编写 一 个 简单 版 本 的 了 ， 称 为 测试 桩 (stub), TH 
返回 值 可 以 用 于 X 的 测试 。 类 似 地 ， 如 果 我 们 想 要 在 X 可 用 之 前 
测试 Y， 我 们 需要 编写 一 个 简单 的 代码 来 模拟 X 发 出 的 对 了 的 调 
用 。 这 样 的 代码 被 称 为 测试 驱动 (driver)。 因 此 ， 在 图 9. 5 所 示 的 f 
例子 中 ,我 们 可 以 通过 编写 代替 B, CAD 的 测试 桩 来 测试 A。 我 图 9. 5 过 程 调用 的 层次 关系 
们 也 可 以 编写 代替 B 的 测试 驱动 来 测试 E。 当 完成 代码 开发 后 ,可 以 在 前 面 测试 时 不 存在 的 真实 
代码 上 重复 进行 测试 。 

与 编程 一 样 ， 测 试 通常 也 是 自 底 向 上 的 ， 从 层次 结构 的 最 底层 开始 。 在 我 们 的 例子 中 ， 过 程 
EE 入 首先 被 测试 (可 以 由 不 同 的 团队 同时 对 它们 进行 测试 )。 这 要 求 为 过 程 B，C =I D 编写 测 
试 驱 动 。 一 旦 编写 好 真实 的 过 程 ， 它 们 可 以 使 用 已 经 编写 好 并 测试 过 的 过 程 和 五， 以 及 代替 A 
的 测试 驱动 进行 测试 。 最 后 ， 当 编写 好 A 的 代码 时 ， 可 以 使 用 其 余 的 过 程 对 其 进行 测试 。 在 该 
例子 中 ,为 了 最 小 化 用 于 测试 的 时 间 ， 我 们 需要 3 个 测试 团队 瓶颈 在 于 同时 对 B, CAD 进行 
测试 )。 测 试 过 程 分 为 3 个 连续 的 阶段 。 最 底层 的 节点 不 调用 其 他 过 程 ， 不 需要 测试 驱动 ， 而 其 
他 的 节点 各 需要 一 个 测试 驱动 ， 一 共 是 4 个。 

测试 同样 可 以 采用 自 项 向 下 的 方式 进行 。 在 我 们 的 例子 中 ， 这 意味 着 为 B, CHD 编写 测试 
E, A A 开始 测试 。 然 后 ， 当 这 些 过 程 开发 好 后 ， 我 们 使 用 E 和 的 测试 桩 来 测试 过 程 B，C 
和 DD。 最 后 ,使 用 真实 代码 驱动 测试 过 程 上 和 下 。 这 一 次 ,我 们 同样 需要 3 个 测试 团队 来 使 测试 
时 间 最 小 化 。 除 了 最 顶层 的 A 外 ， 每 个 过 程 各 需要 一 个 测试 桩 ， 一 共 是 5 +, 

自 底 向 上 和 自 项 向 下 并 不 是 仅 有 的 两 种 策略 ， 我 们 也 可 以 采用 非 结 构 化 的 方式 来 测试 代码 。 
例如 ， 通 过 各 自 增加 所 需 的 测试 柱 和 测试 驱动 ， 则 时 测试 过 程 A 和 玉 。 这 种 策略 被 称 为 大 爆炸 
(big bang) 。 例 如 ， 为 了 测试 C， 我 们 需要 代表 A 的 测试 驱动 和 代表 正 的 测试 杜 ， 这 种 非 结构 化 
的 策略 能 够 减少 测试 时 间 ， 因 为 可 以 同时 测试 更 多 的 过 程 。 另 一 方面 ， 与 结构 化 的 策略 相 比 较 ， 
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非 结构 化 的 策略 需要 编写 更 多 的 测试 驱动 和 测试 柱 。 在 我 们 的 例子 中 ， 需 要 4 个 测试 驱动 和 5 个 
测试 柱 。 因 为 测试 驱动 和 测试 桩 与 真实 的 代码 间 可 能 存在 偏差 ， 所 以 使 用 更 多 的 测试 驱动 和 测 
试 桩 增加 了 在 测试 过 程 中 漏 报错 误 〈 或 者 报告 不 正确 的 错误 ， 即 误 报错 误 ) 的 可 能 性 。 

我 们 很 自然 地 要 问 ， 应 该 使 用 何 种 策略 来 测试 由 多 个 过 程 、 任 务 或 者 模块 组 成 的 系统 。 答 案 
是 测试 策略 应 该 与 开发 策略 相 适 应 ， 因 为 开发 策略 关系 到 测试 人 员 可 获取 程序 的 各 个 部 分 的 顺序 。 


99 Bean 

黑 盒 测试 对 系统 进行 检查 时 不 考虑 其 内 部 结构 ， 因 此 它 通 常 局 限于 检查 系统 的 功能 性 或 特 
征 。 黑 盒 测试 更 适用 于 在 开发 阶段 的 后 期 进行 的 层次 较 高 的 系统 测试 。 黑 盒 测试 的 另 一 个 应 用 
是 用 于 菜单 驱动 的 系统 。 测 试 人 员 可 能 想 要 检查 多 个 菜单 所 提供 的 选项 的 所 有 可 能 组 合 是 否 均 
与 规约 描述 的 行为 一 致 。 

待 建 模 系统 预期 的 行为 可 以 通过 不 同 的 方式 进行 描述 ， 如 文本 、 消 息 序 列 图 (参见 11. 2 35) 
等 。 状 态 机 或 有 限 自动 机 是 将 一 个 系统 多 个 执行 的 描述 封装 到 一 起 的 有 效 手段 。 很 多 现代 设计 
系统 和 方法 学 都 是 基于 有 限 自动 机 (状态 机 ) 及 其 扩展 的 。 该 类 模型 适用 于 捕获 系统 的 动态 性 
质 。 有 限 自 动机 的 研究 比较 多 ， 基 于 它 的 工具 也 在 持续 增加 。 事 实 上 ， 自 动机 被 广泛 用 于 设计 工 
A (如 UML)、 测 试 工具 (如 TESTMASTER) 和 模型 检验 工具 (COSPAN，SPIN，MUR- 
PHY) 中 。 显 然 我 们 期 望 将 同一 个 模型 可 应 用 于 不 同 的 目的 ， 如 设计 、 仿 真 、 测 试 和 验证 。 

黑 盒 测试 常常 基于 用 图 或 自动 机 对 待 测 系统 建 模 ， 并 使 用 图 算法 来 构造 测试 套件 。 与 模型 
检验 一 样 ， 黑 盒 测试 的 第 一 步 是 将 系统 建 模 为 自动 机 。 在 模型 检验 中 ， 我 们 自动 检查 模型 的 属 
性 ， 而 在 这 里 ， 我 们 使 用 模型 生成 针对 代码 的 测试 用 例 。 这 个 差别 使 得 基于 自动 机 的 黑 盒 测试 成 
为 了 模型 检验 的 一 个 补充 手段 。 在 形成 了 一 个 关于 系统 的 抽象 模型 后 ， 两 种 方法 可 以 结合 。 该 模 
型 被 用 于 运行 程序 的 测试 ， 将 系统 的 已 知 变量 与 它 的 行为 进行 比较 。 然 后 应 用 模型 检验 技术 来 
自动 验证 它 的 属性 [135]。 此 方法 如 图 9. 6 所 示 。 在 图 中 ， 测 试 过 程 用 于 为 使 用 模型 作为 基础 的 
自动 验证 提供 支撑 。 当 然 ， 测 试 系统 是 否 与 模型 一 致 的 事实 可 能 不 能 令 人 完全 满意 。 在 这 种 情况 
下 ， 需 要 使 用 开销 更 大 但 更 为 严格 的 方式 〈 如 演绎 验证 ) 来 验证 系统 和 模型 闻 的 一 致 性 。 


测试 模型 
检验 
9.6 一 种 结合 测试 和 模型 检验 的 方法 


由 于 很 多 软件 系统 不 局 限于 有 限 状 态 系 统 ， 所 以 建 模 过 程 可 能 需要 进行 抽象 。 建 模 过 程 也 
可 以 使 用 扩展 有 限 状态 机 ， 它 允许 使 用 包含 变量 的 条 件 和 赋值 。 在 这 种 情况 下 ， 当 也 考虑 到 变量 
的 值 时 ， 系 统 可 能 具有 无 限 多 个 状态 ,但 只 有 有 限 多 个 控制 状态 。 

将 待 测 系 统 建 模 为 一 个 自动 机 后 ， 可 以 使 用 图 算法 来 生成 测试 套件 。 与 模型 检验 所 不 同 的 
设置 是 测试 人 员 在 测试 中 不 〈 通 常 是 不 能 ) 进行 回 戎 。 取 而 代 之 的 是 ， 当 需要 在 前 面 选择 不 同 的 
选项 时 ， 测 试 人 员 需 要 将 系统 重新 设 定 至 初始 状态 ， 并 将 实验 重新 构造 到 需要 进行 不 同 的 选择 
的 位 置 。 

测试 生成 算法 使 用 不 同 的 覆盖 准则 来 生成 测试 套件 。 同 样 ， 它 通常 不 可 能 覆盖 到 所 有 的 路 
径 ， 因 为 路 径 可 能 是 无 限 的 〈 或 者 数量 过 大 ) 。 因 此 ， 与 前 面 所 讨论 的 类 似 ， 使 用 针对 有 限 状 态 
系统 的 覆盖 准则 

一 个 典型 的 基于 自动 机 的 测试 生成 算法 尝试 覆盖 状态 空间 图 中 的 所 有 边 。 为 简便 起 见 ， 我 
们 可 以 假设 状态 空间 由 单个 强 连 通 分 量 所 构成 。 如 果 不 是 这 样 ， 我 们 可 以 增加 一 些 重 置 (reset) 
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边 ， 以 返回 到 初始 状态 。 因 为 现在 初始 状态 可 以 达到 所 有 的 其 他 可 达 状 态 (我 们 假定 所 有 的 状态 
都 是 从 初始 状态 可 达 的 )， 所 以 这 些 重 置 边 使 图 成 为 了 一 个 强 连 通 分 量 。 或 者 我 们 可 以 对 每 一 个 
强 连通 分 量 分 别 进 行 测 试 ， 按 照 顺序 从 能 到 达 该 分 量 的 初始 状态 开始 。 

假设 我 们 需要 履 盖 图 的 所 有 边 。 在 强 连 通 图 中 ， 访 问 且 仅 访 问 每 条 边 一 次 ， 并 返回 初始 状态 
的 一 个 充分 必要 条 件 是 ， 所 有 节点 的 人 边 数 与 出 边 数 相等 。 不 是 每 个 图 都 满足 上 述 条 件 的 。 如 果 
满足 ， 则 称 该 图 包含 一 个 欧 拉 回 路 (Euler cycle) 。 检 查 这 个 条 件 的 方法 较为 简单 ， 如 果 该 条 件 
满足 ， 则 可 以 使 用 一 个 边 数 的 线性 复杂 度 算法 来 构造 这 样 的 一 条 路 径 。 

如 果 图 不 满足 上 述 条 件 ， 我 们 可 能 要 找到 一 条 包括 图 中 每 条 边 至 少 一 次 的 路 径 。 因 为 最 小 
化 这 个 开销 是 有 益 的 ， 我 们 可 能 需要 找到 能 覆盖 所 有 边 的 最 少 路 径 。 这 个 问题 称 为 中 国 邮递 员 
问题 。 解 决 此 问题 是 基于 这 样 的 发 现 ; 我 们 可 以 按照 每 条 边 在 路 径 中 应 该 出 现 的 次 数 来 对 各 条 
边 进行 复制 ， 而 不 是 允许 一 条 边 在 路 径 中 重复 出 现 多 次 。 完 成 这 样 的 复制 后 ， 欧 拉 条 件 将 会 得 到 
满足 。 然 后 ， 我 们 可 以 使 用 一 个 线性 复杂 度 的 算法 [129] 来 在 扩展 后 的 图 中 找到 一 个 欧 拉 回 路 。 
为 满足 欧 拉 条 件 ， 我 们 可 以 使 用 网 络 一 流 (network-flow) 算法 或 者 线性 规划 在 多 项 式 时 间 复 杂 
度 内 找到 每 个 节点 需要 复制 的 最 小 数量 [39] 

覆盖 每 条 边 至 少 一 次 并 不 是 用 于 构造 测试 套件 的 唯一 覆盖 标准 。 其 他 可 能 性 包括 ， 

覆盖 所 有 的 节点 。 

。 覆盖 所 有 的 路 径 (这 通常 是 不 现实 的 ) 。 

。 覆盖 NN 个 节点 的 每 个 邻接 序列 (adjacent sequence), 

。 在 测试 套件 的 每 个 序列 中 覆盖 某 些 节点 至 少 一 次 或 最 多 给 定 次 数 。 

以 如 图 9.7 所 示 的 图 为 例 。 选 择 两 条 路 径 就 足以 覆盖 所 有 的 状态 ， ss do s, Geo n, 
Gre s ÑI s Te so ro so ro se 但 这 并 不 能 覆盖 所 有 的 边 。 为 了 履 盖 所 有 的 边 ， 我 们 需要 
增加 路 径 %，% ，% ，% 。 为 了 穷尽 覆盖 所 有 的 路 径 ， 我 们 需要 测试 27 条 路 径 。 这 是 因为 节点 、， 
ss Als, 的 3 条 边 的 选择 是 相互 独立 的 。 @ @ D 

值得 注意 的 是 ， 用 于 测试 的 覆盖 准则 并 不 能 AN 
保证 找到 所 有 (或 任何 ) 错误 。 例 如 ， 达 到 满足 < © Q 
某 些 条 件 的 状态 s 后， 如 果 在 一 段 时 间 后 达到 满 Q EO (rs) 

是 另 一 些 条 件 的 状态 >， 则 会 引发 一 个 错误 。 在 J 

保证 能 提供 访问 系统 所 有 状态 (或 者 所 有 边 ) 的 BOT 一 个 居于 测试 的 图 

测试 用 例 的 覆盖 准则 下 ， 我 们 仍然 可 能 无 法 发 现 错误 的 执行 。 前 述 的 状态 s Mr 可 能 会 被 其 些 测 
试用 例 所 覆盖 ， 但 是 这 些 测试 用 例 中 仅 包 含 了 两 个 状态 中 的 一 个 而 仅 一 个 状态 自身 是 无 法 发 
现 该 错误 的 ) 。 

一 个 部 分 解决 方案 是 使 用 用 于 检查 的 属性 ， 这 些 属性 被 用 来 为 查找 错误 而 生成 测试 用 例 。 
例如 ， 我 们 可 以 采用 基于 自动 机 的 模型 检验 思想 ， 并 使 用 有 限 自动 机 来 表示 错误 的 运行 案例 。 给 
出 待 测 系 统 的 有 限 状态 机 和 反例 自动 机 ， 我 们 可 以 利用 两 者 的 交集 生成 测试 用 例 。 


9.10 概率 测试 


软件 测试 方法 基于 与 软件 验证 所 不 同 的 理念 ， 不 是 尝试 穷尽 软件 的 执行 ， 而 是 尝试 对 软件 
的 执行 进行 抽样 。 在 本 章 前 面部 分 所 介绍 的 测试 覆盖 准则 ， 就 是 为 了 试图 获得 一 个 合理 而 实用 
的 覆盖 度 。 为 了 比 这 个 实用 的 方法 更 进一步 ， 我 们 可 以 放弃 全 面 测 试 这 个 目标 ， 转 而 基于 软件 的 
典型 使 用 进行 测试 。 隐 藏 在 这 个 方法 背后 的 基本 原理 是 ， 统计 研究 表明 ， 所 有 的 软件 产品 都 是 仿 
有 错误 的 。 即 使 使 用 了 不 同 的 形式 化 方法 技术 后 一 般 是 软件 测试 )， 仍然 会 有 一 些 错误 。 带 着 
这 样 的 想法 ， 我 们 应 该 把 目标 调整 为 在 所 分 配 的 时 间 内 使 用 最 有 效 的 方式 来 检查 软件 。 在 接受 
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经 过 测试 的 软件 中 仍然 存在 某 些 错 误 这 个 事实 后 ， 我 们 试图 最 大 化 “最 短 失 效 时 间 ” (minimal 
time to failure, MMTF), 

为 了 对 预期 的 典型 使 用 进行 测试 ， 我 们 可 以 采用 概率 测试 。 概 率 测 试 所 使 用 的 模型 是 基于 
状态 空间 或 有 限 自 动机 模型 的 一 个 扩展 ， 称 为 马尔 科 失 链 〔Markov chain) 。 除 了 状态 和 转换 外 ， 
它 还 包括 从 一 个 给 定 状 态 发 生 特 定 转换 的 概率 。 概 率 是 介 于 0 和 1 之 间 的 实数 。 此 外 ， 从 每 个 状 


态 出 发 的 所 有 转换 的 概率 之 和 必须 为 1 。 ` ”释放 [0. 8] Ph, 
如 图 9.8 Pr 8 R — 4" s S By Sl (SILA 5.1 和 © 故障 状态 

5.2 节 中 的 描述 )， 其 中 增加 了 转换 概率 。 因 为 从 状态 6 Q “ © 

s HAMMER, MRE s 出 发 也 仅 有 一 个 转换 ， w mao ) 


所 以 这 些 转换 的 概率 为 1， 不 需要 标注 。 从 状态 s 出 发 I 
有 两 个 转换 ， 分 别 转换 到 s 和 。 前 一 个 转换 的 概率 图 9.8 一 个 简单 的 号 尔 科 夫 链 
是 0.8， 后 一 个 转换 的 概率 是 0.2。 我 们 可 以 乘 以 100 来 通过 百分比 的 形式 表示 概率 。 所 以 ,每 
次 处 于 状态 s 时 ， 有 80% 的 可 能 性 转换 到 状态 ss A 20%% 的 可 能 性 转换 到 s, 。 
在 马尔 科 夫 链 模型 中 ， 从 一 个 状态 转换 到 另 一 个 状态 的 概率 仅 依赖 于 当前 的 状态 ， 而 不 依 
赖 于 截止 到 目前 的 执行 历史 。 执 行 一 条 路 径 的 概率 就 是 该 路 径 上 各 个 转换 的 概率 的 习 积 。 因 此 ， 
执行 图 9.8 中 路 径 Sis s29 sir ses s 的 概率 为 1X0.8X1X0.8X1X0.2=0.128， 即 12.8%。 
值得 注意 的 是 一 个 马尔 科 夫 链 不 过 是 一 个 模型 ， 它 不 能 精确 地 反映 真实 的 系统 。 事 实 上 ， 可 
能 会 有 人 指出 上 述 弹 移 模 型 的 例子 存在 如 下 间 题 : 
° 在 马尔 科 夫 链 中 ， 从 一 个 状态 转换 到 另 一 个 状态 的 概率 仅 与 当前 状态 有 关 。 这 并 没有 反 
映 系 统 真 实 的 属性 。 在 弹 答 的 例子 中 ， 弹 簧 仍 保持 拉 伸 状态 的 概率 可 能 与 整个 使 用 历史 
相关 ， 即 弹 得 被 拉 伸 了 多 少 次 。 
° 一 般 情 况 下 ， 要 提供 这 样 的 概率 是 比较 困难 的 。 特 别 是 当 所 开发 的 系统 是 全 新 的 ， 没 有 
以 前 关于 系统 使 用 的 统计 数据 可 用 时 。 在 弹簧 的 例子 中 ， 制 造 者 可 能 会 根据 以 前 的 研究 
提供 各 个 转换 的 概率 。 然 而 ， 这 样 的 信息 通常 并 不 存在 。 相 反 ， 概 率 通 常 仅 反 映 了 一 个 
粗略 的 估计 。 
测试 算法 可 以 根据 所 提供 的 机 率 来 对 马尔 科 夫 链 进行 仿真 。 程 序 设计 语言 通常 会 提供 一 个 
random() 方 法 来 生成 一 个 仿真 随机 数 ， 如 生成 一 个 介 于 0 和 1 之 间 的 数字 。 假 定 将 从 一 个 状态 s 
出 发 的 一 系列 转换 编导 为 1 到 n， 其 转换 概率 分 别 是 p bo ，…，p,。 我 们 可 以 将 从 0 到 1 之 间 


的 值 划分 为 形 如 ( Sia) 之 zx 二 (了) 的 格式 (我们 可 以 设 定 该 区 间 的 下 边界 是 闭 的 ， 上 边界 
是 开 的 ， 最 后 一 个 区 间 的 上 边界 也 是 闭 的 )， 其 中 jE (0，…，n 一 1} ,并 将 如 设置 为 0。 例 如 在 
弹簧 的 例子 中 ， 有 两 个 区 间 : 0 委 z<0.8 和 0.8 生 zs1。 然 后 ， 如 果 我 们 处 于 状态 s, random) 
返回 的 值 在 第 7 个 区 间 ， 则 我 们 选择 ; 的 第 7 个 转换 。 


假设 实现 了 一 个 无 偏差 的 随机 数 生成 函数 ， 这 样 的 仿真 可 以 在 统计 意义 上 与 待 测 模型 的 概 
率 保 持 一 致 ， 并 以 此 给 出 了 系统 所 偏好 的 执行 。 


9.11 测试 的 优点 

尽管 测试 并 不 像 演绎 验证 或 者 模型 检验 那样 是 一 个 穷尽 的 方法 ， 但 它 仍 是 最 流行 的 用 于 提 
高 软件 质量 的 方法 。 主 要 是 因为 测试 较为 简单 可 行 ， 性 价 比 也 比较 高 。 

对 软件 进行 验证 通常 需要 大 量 的 投资 ， 比 将 验证 作为 软件 开发 活动 中 的 常规 活动 所 能 承受 
的 开销 要 高 。 模 型 检验 已 经 被 证 明 是 一 种 验证 有 限 状态 系统 的 有 效 方法 ， 如 硬件 和 通信 协议 的 
验证 。 然 而 ， 在 处 理 包含 整 型 或 实 型 变量 的 程序 和 考虑 到 栈 或 树 等 数据 结构 时 ， 验证 的 方法 很 快 
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就 达到 了 极限 。 在 真实 的 系统 中 ， 一 个 单独 的 状态 可 能 占据 了 计算 机 内 存 的 很 大 一 部 分 。 模 型 检 
验 的 算法 要 求 在 同一 时 刻 存 放 并 比较 多 个 状态 ， 这 可 能 是 不 现实 的 。 相 对 而 言 ， 测 试 对 时 间 和 人 
力 资 源 的 要 求 通常 较为 合理 ， 并 可 以 直接 在 待 测 系统 上 进行 测试 。 


9.12 ”测试 的 缺点 

通常 测试 并 没有 演绎 验证 和 模型 检验 那么 严格 。 本 质 上 ， 测 试 意味 着 对 待 测 程序 执行 的 抽 
样 。 因 为 测试 直接 应 用 于 拥有 数量 巨大 甚至 无 限 多 个 状态 的 真实 程序 ， 所 以 使 用 一 个 系统 的 方 
法 来 检查 程序 的 所 有 执行 是 不 可 能 或 者 说 是 不 切实 际 的 。 不 幸 的 是 ， 每 一 种 覆盖 方法 都 可 能 会 
漏 掉 一 些 包 含 错误 的 执行 。 

根据 所 选择 的 覆盖 准则 ， 白 盒 测 试 方法 使 用 程序 代码 生成 测试 用 例 ， 这 会 因为 系统 实现 的 
特定 方式 而 引信 偏差 。 以 边 覆 盖 准 则 为 例 ， 沿 着 流程 图 中 某 条 路 径 执 行 ， 即 覆盖 了 该 路 径 上 的 
边 。 而 执行 是 基于 检查 程序 中 所 使 用 的 赋值 语句 和 判定 谓词 来 获取 的 。 因 此 ， 实 际 上 程序 的 代码 
和 覆盖 准则 会 为 程序 的 执行 提供 一 个 划分 建议 ， 而 测试 则 根据 划分 检查 每 个 等 价 类 中 的 一 个 执 
行 。 以 一 个 覆盖 流程 图 中 某 条 路 径 的 执行 为 例 ， 假 定 待 测 程序 有 一 个 错误 而 覆盖 同一 条 路 径 有 
两 种 可 能 性 ， 其 中 一 个 是 正确 的 ， 而 另 一 个 是 不 正确 的 。 一 定 概率 上 ， 建 议 的 划分 所 包含 的 执行 
可 能 是 正确 的 ， 而 未 能 包含 一 个 针对 不 正确 执行 的 测试 用 例 。 

使 用 有 限 状 态 机 模型 的 黑 盒 测试 也 存在 相似 的 问题 。 测 试 人 员 根 据 自身 对 系统 正确 和 不 正 
确 行为 的 理解 选择 模型 ， 这 将 会 直接 影响 到 测试 套件 的 选择 。 


913 测试 工具 


可 以 免费 用 于 学 术 目 的 测试 工具 相对 较 少 。Brian Merick 所 提供 的 GCT (Generic Coverage 
Tool) 的 使 用 说 明 可 从 如 下 链接 获取 , 

ftp: //cs. uiuc. edu/pub/testng/GCT. README 

注意 ,使 用 形式 化 方法 系统 通常 需要 填写 并 发 送 合适 的 发 布 表格 ， 并 同意 某 些 使 用 条 款 。 


9.14 扩展 阅读 


关于 软件 测试 的 经 典 书 籍 是 

G. J. Myers, The Art of Software Testing, Wiley, 1979. 
其 他 几 本 Beizer 所 编写 的 关于 测试 的 较 全 面 的 书籍 是 ， 
B. Beizer, Black-Box Testing, Wiley, 1995. 


B. Beizer, Software Testing Techniques, 2nd edition, Van Nostrand Reinhold, 
1990. 
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不 过 这 只 瓶 上 并 没有 写 着 “有 有毒” 的 字样 ， 所 以 爱丽 丝 冒 险 尝 了 一 口 ， 觉 得 味道 很 好 〈 它 有 
樱桃 馅 饼 、 牛 奶 蛋糕 、 蔬 萝 、 烤 火 鸡 、 奶 糖 和 热 黄油 面包 混在 一 起 的 那 种 香味 )， 于 是 很 快 就 把 
它 喝 光 了 。 

刘易斯 ， 卡 洛 尔 《爱丽 丝 漫 游 奇 境 记 》 


本 书 所 描述 的 每 一 种 软件 可 靠 性 方法 都 有 其 典型 的 优点 与 缺点 。 自 动 验证 方法 由 于 其 穷尽 
与 低 人 工 干预 的 特性 而 备 受 重视 。 但 随 着 被 检验 系统 规模 的 增长 ， 其 效率 也 随 之 急剧 下 降 。 定 理 
证 明 能 被 应 用 于 无 限 状 态 系统 ， 但 它 有 速度 慢 以 及 需要 大 量 人 工 技巧 的 问题 。 测 试 能 够 直接 应 
用 于 系统 ， 但 由 于 存在 着 不 完备 性 ， 因 而 ， 它 可 能 会 漏 检 一 些 错误 。 通 过 将 不 同 的 形式 化 方法 集 
成 起 来 进行 协同 工作 ， 能 够 组 合 其 长 处 ， 同 时 回避 其 部 分 短处 。 


10.1 抽象 

对 原始 态 的 系统 的 验证 通常 太 过 复杂 而 难以 实现 。 因 此 经 常 需要 应 用 抽象 方法 ， 即 减少 系 
统 中 需要 注意 的 细节 ， 以 获取 被 检验 系统 的 简化 版 本 。 处 理 系统 复杂 度 的 一 个 成 功 方法 是 将 系 
统 简 化 成 一 个 保留 系统 本 质 属 性 的 可 控 版 本 。 涉 及 的 两 个 验证 任务 如 下 : 

° 证 明 原 始 系统 与 其 简化 版 本 之 间 ， 系 统 的 本 质 属性 〈 包 括 我 们 想 要 验证 的 所 有 属性 ) 得 

到 保留 。 

° 证 明 简 化 版 本 的 正确 性 。 这 个 任务 可 在 简化 后 通过 模型 检验 来 完成 。 

抽象 可 用 于 将 一 个 无 限 状 态 系 统 映 射 为 有 限 状态 的 版 本 ， 以 便 对 其 应 用 模型 检验 技术 ， 如 
图 10. 1 所 示 。 此 外 ， 即 使 是 有 限 状 态 系统 也 可 能 需要 通过 抽象 将 原始 系统 的 状态 空间 减 小 到 现 
有 模型 检验 工具 可 控 的 规模 。 抽 象 通常 基于 应 用 额外 的 人 类 知识 ， 经 由 人 工 或 半自动 的 工具 而 
得 以 实现 。 然而， 通常 情况 下 程序 的 验证 是 不 可 判定 的 ， 也 无 法 系统 地 降低 模型 检验 的 复杂 度 ， 
我 们 不 能 忽视 这 个 绝对 的 事实 。 因 此 ， 我 们 可 能 无 法 找到 合适 的 抽象 ,或 是 无 法 形式 化 地 证 明 原 
始 系 统 与 它 的 抽象 版 本 之 间 的 对 应 。 


-| — së 


图 10.1 验证 与 模型 检验 的 一 种 组 合 方法 


在 本 节 ， 我 们 将 展示 系统 及 其 抽象 版 本 之 间 的 一 些 形式 化 关联 ， 以 及 可 从 先 抽象 系统 后 验 
证 抽象 版 本 过 程 中 得 出 的 结论 。 

考虑 一 个 实际 的 转换 系统 P (后 面 会 给 出 它 的 结构 )， 其 状态 空间 为 A? 二 (S?，A?, JI", 1?， 
22, BES 为 它 的 (有 限 或 是 无 限 ) IRS, ACS XS 为 直接 后 继 关系 ，I? 己 Sr? 为 初始 
状态 , 工 为 关于 状态 在 某 字符 集 (状态 标识 ) 3 上 的 菜 标签 函数 。P 的 抽象 版 本 O 对 应 的 状态 空 
fa] W#AC=(S°, A, P, L°, yy, 

在 第 8 章 ， 我 们 看 到 了 如 何 用 不 同 的 等 价 符号 展示 进程 代数 agent 之 间 的 关联 性 。 我 们 同样 
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也 能 在 系统 的 状态 空间 之 间 使 用 仿真 的 符号 。 抽 象 将 以 两 种 仿真 关系 呈现 : 前 向 仿真 RS? XS? 
与 后 向 仿真 QSS xs”, 

前 向 仿真 关系 及 必须 满足 以 下 条 件 : 

。 对 每 一 个 初始 状态 . €E ,都 至 少 存 在 一 个 初始 状态 CEI, MEERE? 

© ErRs, WH LCD =L). 

° HrRs, HHA (5*，s JEA4A"， 则 至 少 存在 一 个 状态 r €e So 满足 Gr, DEAL S rR i, 

需要 注意 互相 关联 的 状态 具有 同样 的 标签 这 一 附加 需求 。 对 怠 给 定 上 述 条 件 ， 很 容易 发 现 对 
A? 的 每 个 执行 ，A? 总 存在 一 个 执行 6， 其 标签 与 c 的 标签 匹配 。 也 就 是 说 ，c 的 第 i 个 状态 的 
FRL”), ILG) 相同 。 因 而 ，vc 与 5 满足 相同 的 线性 时 序 逻 辑 或 是 Büchi 自动 机 属性 。 

将 状态 空间 A? 与 4A? 视 为 共用 字符 集 马 之 上 的 自动 机 FRYER, SLA) BLA) 分 
MAA? HA 的 语言 ， 则 仿真 关系 意味 着 有 C(42)SC(4o)。 令 9 为 规约 ，CCp) 为 满足 规约 ç 
的 执行 集合 。 如 果 我 们 所 验证 的 抽象 版 本 A? 满足 了 p， 即 CC4o)SC(o)， 利 用 包含 关系 “C” 
的 传递 性 ， 我 们 可 以 得 到 CCA)CCCq)。 也 就 是 说 ， 原 始 系统 满足 被 验证 的 属性 。 然 而 ，A? 中 
的 某 些 执行 可 能 在 .A? 找 不 到 与 其 匹配 的 执行 。 因 此 ， 即 使 在 抽象 版 本 .4o 中 找到 了 一 个 不 满足 p 
的 执行 反例 ， 我 们 依然 需要 检查 该 执行 反倒 是 否 属于 Ar。 (事实 上 ， 由 于 A? 本 身 也 只 是 系统 的 
一 个 模型 ， 因 此 还 需要 比较 该 反例 与 所 描述 系统 的 实际 执行 的 关联 情况 。) 

以 如 图 10, 2 所 示 的 一 个 4 格 空间 的 缓冲 为 例 。 标 记 为 empty 的 状态 代表 空 的 缓冲 ， 标 记 为 
full 的 状态 代表 满 的 缓冲 ， 而 标记 为 quasi 的 状态 代表 处 于 “ 非 空 非 满 ”状态 的 缓冲 。 在 图 的 左 
边 ， 是 缓冲 的 状态 空间 .42 ， 在 右边 则 是 该 状态 空间 的 抽象 版 本 .ho 。 图 中 从 左 到 右 的 箭头 对 应 着 
抽象 映射 关系 。 首 先 考虑 如 下 属性 ， 

p= DD((guasi — OC quasi V empty V fulld) A (empty — Oquasi) A (full > Oquasi)) 

该 属性 对 于 A? 是 满足 的 ， 并 且 在 .4o 中 得 到 了 保持 。 由 于 仿真 映射 关系 的 存在 ， 对 4o 而 不 
是 A? 进行 模型 检验 便 能 确定 A? 中 o 的 正确 性 。 注 意图 10.2 中 右边 的 抽象 版 本 省 略 了 格子 
的 数量 ， 因 此 可 以 将 它 看 成 是 对 一 组 拥有 不 同 格子 数量 的 缓冲 模型 的 抽象 。 现在 考虑 第 二 类 
AGE: 








# = L|(empty >> O full A 7OO full A OOO full) 
该 属性 要 求 一 个 empiy 状态 的 缓冲 不 能 在 3 步 之 内 到 达 full 状态 ， 即 缓冲 应 至 少 有 14 个 格子 。 
AP 显然 满足 该 属性 ， 但 试图 证 明 抽象 版 本 .4o 满足 该 属性 则 会 失败 。 一 个 反例 是 由 分 别 标记 为 
empty, quasi 与 full 的 三 个 连续 状态 所 组 成 的 序列 。 然 而 ， 该 反例 并 不 在 语言 CC4r) mh, 就 
是 这 样 一 个 对 .42 满足 但 对 其 抽象 版 本 却 不 成 立 的 属 


empty 


性 例子 。 — 
事实 上 ， 图 10. 2 中 左边 的 模型 忽略 了 存储 于 缓冲 — 
中 的 数据 ， 因 此 它 本 身 也 是 一 种 抽象 。 在 所 存 数据 为 1 quasi S SO mw 
比特 〈0 或 1) 的 简单 情况 下 ， 描 述 该 系统 的 一 个 更 加 —. 
详细 的 模型 如 图 10.3 所 示 。 注 意 缓冲 中 最 先 被 十 人 的 Ca CY TAYY pasi 
是 最 左边 的 空格 子 。 从 使 用 最 左边 格子 的 元 素 的 缓冲 a 
中 移 除 一 个 元 素 ， 而 后 将 缓冲 中 剩余 的 部 分 向 左 移 ee 
动 一 格 。 在 图 中 ， 由 符号 0、1 与 E (代表 该 格子 为 “gas A ~ A 


空 ) 构成 的 序列 描述 缓冲 中 的 内 容 。 根据 抽象 ， f 
图 10. 3 中 的 状态 EEEE (通过 仿真 关系 ) 便 对 应 于 py — 
图 10. 2 中 左边 模型 的 empty 状态 。 而 那些 没有 空格 子 


的 状态 ， 即 图 10. 3 中 最 底部 的 那些 状态 ， 对 应 于 状态 图 10. 2 二 格 缓冲 及 其 抽象 
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al， 其 他 状态 则 对 应 于 标记 为 quasi 的 状态 。 

再 进一步 ， 图 10. 3 中 后 面 的 模型 本 身 是 对 无 限 状态 系统 的 抽象 。 在 原始 系统 中 ， 缓 冲 的 每 
一 格 可 能 存储 着 某 域 上 的 无 界 值 ， 比 如 整数 。 尽 管 在 实际 实现 中 所 存储 的 这 些 值 是 有 界 的 ， 但 取 
值 范围 可 能 远 超 出 了 自动 验证 的 负载 能 力 。 再 则 ， 可 为 无 界 情况 设计 算法 ， 可 能 需要 在 不 考虑 具 


体 实现 的 实际 字 长 的 情况 下 进行 验证 。 





图 10.3 以 比特 为 单位 的 4 格 缓 冲 


后 向 仿真 关系 @ 应 当 满 足以 下 条 件 : 

。 对 每 一 个 初始 状态 .*E 7?， 至 少 存在 一 个 初始 状态 PEI’, BE OO’. 

。 车 r@S， 则 有 LC(r)= 二 L?(s)。 

， 若 rQQS5, ŽEH Cr，~)EA4A?， 则 至 少 存在 一 个 状态 ES? 满足 G, DEAS 5 Q. 

给 定 @ 的 上 述 条 件 ， 对 .Ao 的 每 个 执行 $， 存 在 一 个 A? 的 执行 c， 其 每 个 状态 的 标签 都 与 2 一 
致 。 则 有 LCA4?) 三 CCA?)。 这 意味 着 每 一 个 表明 抽象 版 本 Ao 不 满足 被 验证 属性 w HRA (ED 
L(A?)9ELlg))， 也 是 原始 版 本 A? 的 反例 。 另 一 方面 ， 即 使 .4o 所 有 的 带 标签 的 执行 都 满足 规约 
Pp， 即 L(A0)CL(g)， 也 不 能 得 出 A? 同样 满足 gq 的 结论 ， 因 为 .42 中 可 能 存在 某 个 在 .4o 中 没有 对 
应 执行 的 带 标签 的 执行 。 o, 

要 在 状态 空间 〈 自 动机 ) A SA 上 证 明 及 的 仿真 条 件 通常 不 现实 。 因 此 ， 我 们 试图 转 而 在 
转换 系统 的 层次 上 证 明 它 。 假 定 以 4.7 节 中 列 出 的 形式 给 出 这 样 两 个 非 确定 性 转换 系统 ， 具 体系 
P=, g”, 0 与 抽象 系统 O= (S2，m ，6p) ， 分 别 对 应 于 自动 机 ,4z 与 42 。 

在 执行 转换 前 ， 将 P 的 程序 变量 的 一 个 有 序列 表 表 示 为 去 ， 执行 转换 后 将 对 应 的 变量 有 序列 
表 表 示 为 去 《回想 一 下 ，4.7 节 中 所 定义 的 非 确定 性 转换 ， 它 采 用 对 应 变量 的 两 个 副本 来 关联 每 
个 转换 执行 前 后 的 值 )。 据 此 ， 我 们 以 公式 gr(z，z') 表示 相应 的 转换 。 与 之 类 似 ， 我 们 用 了 与 
了 来 分 别 表示 执行 转换 前 后 O 的 变量 有 序列 表 ， 那 么 g? (5，7') 则 表示 O 的 转换 关系 。 我 们 假 
AE z Fj y BRAK, 可 以 通过 变量 重 命名 的 方式 保证 这 一 点 。 我 们 仍然 使 用 符 导 表示 x = 
Vy， 而 不 是 分 别 列 出 每 个 变量 。 

& RG. D 为 描述 抽象 及 的 公式 ， BD P 与 0 中 的 状态 之 间 的 关系 。 该 公式 以 包含 9? 与 Go 
的 签名 表达 ， 以 及 以 包括 Sr 与 Se 的 结构 翻译 。 那 么 ， 下 面 两 个 条 件 是 证 明 P #IO 所 生成 的 状态 
空间 之 闻 满 足 仿真 关系 也 的 充分 条 件 (但 并 非 必要 条 件 ， EP PY RERI): 

1. VE(OF (z) -> IPG A RGD) 

2. VZzVz'Vy((RCz,y) A og (HZ) > IF py 3) A 民 ( 却 了))) 

注意 上 述 条 件 对 去 的 每 一 个 可 能 的 值 都 进行 了 证 实 ， 其 中 可 能 包括 了 某 些 对 应 着 不 可 达 状 
态 的 值 。 因 此 ， 即 使 抽象 是 正确 的 ， 此 条 件 仍 然 有 可 能 不 成 立 。 假设 我 们 可 以 使 用 PP 的 一 个 不 
变量 In (Z) , 即 对 已 的 所 有 可 达 状 态 均 满足 的 公式 。 这 里 要 注意 nD 可 能 允许 (满足 〉 不 可 
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达 状 态 。 那 么 就 有 了 如 下 较 弱 的 条 件 : 

1. V z((In(z) A OPC) — 37(92(7) A RG,9))) 

2. VZzVz'Vy((n(z) A RED A PE, T > AVG) A RG yD) 

我 们 尽力 获得 最 强 的 可 能 不 变量 Ia(Z) 。 准 确 地 满足 所 有 可 达 状 态 〈 同 时 不 满足 任何 不 可 达 
RA) 的 不 变量 可 以 令 上 面 改 写 过 的 一 对 条 件 成 为 证 明 仿 真 关系 的 充分 必要 条 件 。 然 而 ， 通 常 这 
种 不 变量 并 不 总 是 可 以 找到 。 另 一 个 问题 是 ， 为 了 能 够 在 改写 的 条 件 中 应 用 nE, RG BE 
明 它 是 书 的 一 个 不 变量 。 证 明 可 以 通过 诸如 Manna- Pnueli 证 明 系统 实现 ， 特 别 是 7.5 节 中 给 出 
的 INV 证 明 规 则 。 然 而 ， 证 明 需 要 针对 具体 转换 系统 已 完成 ， 无 法 借助 抽象 的 优势 。 

显而易见 ， 为 了 能 够 推 得 正确 性 ， 并 信赖 反例 ， 需 要 同时 具备 前 向 与 后 向 仿真 关系 。 实 际 
上 ， 当 我 们 仅 发 现 了 其 中 一 种 关系 时 ， 便 可 以 决定 应 用 抽象 过 程 。 那 么 ， 要 从 模型 检验 的 结果 中 
得 出 正确 的 结论 ， 就 必须 特别 注意 : 如 果 只 确定 了 前 向 仿真 关系 ， 那 么 就 需要 针对 原始 系统 检验 
所 得 到 的 每 个 反例 ， 以 确保 其 不 是 误 报 。 如 果 只 使 用 了 后 向 仿真 关系 ， 那 么 可 以 信赖 反例 ， 但 是 
对 .A? 属性 的 验证 并 不 能 推 得 其 在 .Ar? 上 的 正确 性 。 

抽象 通常 是 验证 执行 者 基于 其 自身 的 直觉 与 经 验 以 非 形式 化 的 方式 完成 的 。 这 样 ， 从 抽象 
版 本 的 自动 验证 结果 中 获取 的 结论 并 不 安全 。 通 过 使 用 演绎 验证 工具 ， 可 以 获取 系统 (通常 是 详 
细 模 型 而 不 是 实际 代码 〉 与 其 抽象 版 本 之 间 的 形式 关联 。 我 们 需要 在 某 证 明 系 统 中 使 用 定理 证 
明 器 对 尺 、 急 〈 当 其 中 之 一 不 可 用 时 则 仅 使 用 另 一 个 ) 的 抽象 条 件 进行 验证 。 还 有 很 多 种 其 他 的 
方法 来 定义 抽象 。 

通常 没有 指南 说 明 如 何 选择 抽象 。 要 说 明 抽象 保持 了 仿真 关系 〈 或 是 双向 仿真 关系 ) 需要 一 
定 的 技巧 。 有 不 同 的 “通用 ”抽象 方法 可 适用 于 多 种 情况 。 同 样 ， 一 些 有 用 的 定理 也 试图 描述 那 
些 可 通过 使 用 多 种 数据 类 型 来 实现 自动 抽象 的 情况 。 这 些 数 据 独 立 的 定理 [148] 可 用 于 自动 地 
将 一 个 给 定 的 模型 转换 为 有 限 状态 系统 。 数 据 独立 性 能 够 被 用 于 那些 使 用 了 某 种 无 界 数据 结构 ， 
但 是 并 不 依赖 其 作 判 断 的 程序 。 一 个 数据 独立 性 的 例子 是 在 茶 个 无 界 域 上 “比如 说 ， 整 数 〉 进行 
有 限 缓冲 的 建 模 。 如 果 被 检验 的 属性 与 缓冲 中 所 存储 的 元 素 的 值 无 关 ， 便 可 以 使 用 图 10.2 中 去 
侧 的 有 限 状态 空间 模型 〈 或 者 甚至 是 该 图 中 右 侧 更 抽象 的 模型 ) 将 这 些 值 抽象 掉 。 有 人 建议 用 _- 
些 启发 式 方法 自动 获取 正确 的 抽象 ， 参 见 [15，104，56]。 下 面 的 习题 给 出 了 一 些 关于 这 类 变换 
的 直观 知识 。 


练习 10. 1. 1 思考 下 述 针对 变换 系统 的 变换 建议 ， 并 且 检 验 其 是 否 符 合 前 向 仿真 、 后 向 仿 
真 或 双向 仿真 。 对 这 两 种 所 建议 的 变换 ， 考 虑 这 样 一 个 转换 系统 T， 它 由 4.4 节 中 给 出 的 确定 性 
转换 所 构成 。 令 = 为 转换 系统 中 变 基 的 一 个 子 集 ， 它 满足 如 下 条 件 ， 


F x 为 可 能 被 赋予 依赖 二 于 中 另 一 个 变量 的 值 的 任 一 个 程序 变量 〈 即 定义 工 中 
茶 个 转换 的 表达 式 中 有 一 个 包含 y 的 表达 式 被 赋 给 =)， 那 么 = 同样 在 二 中 。 举 例 来 说 ， 
因为 转换 
bc = ml A zl Z 7 — (pc ,z1) := (m2 ,y3 +- 4) (10. 1) 
车 ?3 在 中 ， 那 么 zl 必须 也 在 该 集合 中 。 
首先 ， 我 们 从 转换 系统 中 移 除 所 有 变量 z, 包括 那些 赋值 给 它们 的 表达 式 . 则 上 面 的 转换 
(10. 1) 会 变 成 
be = ml A zl S7 — pc := m (10. 2) 
我 们 同样 需要 改变 转换 的 条 件 。 我 们 为 每 个 条 件 c 提出 了 如 下 的 变换 ， 
1. 将 c 中 每 一 个 出 现 的 包含 中 变量 的 一 阶 公 式 将 换 为 true, 转换 (10. 2) 就 变 为 
pe = ml À true — pc += m2 
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可 简化 为 

| po = m] — pe : = m2 

2. 将 c 中 每 一 个 出 现 的 包含 z 中 变量 的 一 阶 公式 替换 为 true ， 得 到 c1。 将 上 述 每 一 个 出 现 用 
false FR, HB c2 。 之 后 用 cl V c2 替换 c. 

Cpe 三 ML A true) V (pc = ml A false) — pe := m2 

同样 可 简化 为 . 
pe = ml — pc := m2 
《给 出 一 个 在 1 与 2 中 不 变换 ， 但 在 简化 之 后 成 为 相同 转换 的 例子 。) 

3. 与 上 述 1 中 一 样 ， 但 是 每 次 只 处 理 一 个 这 样 的 出 现 ， 直 到 所 有 的 出 现 被 替换 为 止 。 

4, 与 上 述 2 中 一 样 ， 但 是 每 次 只 处 理 一 个 这 样 的 出 现 ， 直 到 所 有 的 出 现 被 替换 为 止 。 


10.2 组 合 测试 与 模型 检验 

测试 技术 的 目的 在 于 通过 对 被 测 系统 的 执行 进行 执 样 ， 将 其 与 规定 的 行为 进行 比较 。 已 提 
出 不 同 的 覆盖 准则 以 应 对 尽量 减少 测试 时 间 与 尽量 增 大 发 现 错误 概率 之 间 的 权衡 。 然 而 ， 测 试 
并 不 能 保证 对 被 测 系统 提供 穷尽 覆盖 。 模 型 检验 能 够 做 到 穷尽 履 盖 ， 但 只 能 应 用 于 被 检 系 统 的 
模型 ， 而 不 是 系统 本 身 。 由 于 模型 与 实际 系统 之 间 可 能 存在 不 一 致 ， 模 型 满足 某 些 属性 未 必 能 说 
明 实 际 系统 也 满足 该 属性 。 

本 节 我 们 将 描述 一 项 组 合 了 模型 检验 的 完备 性 ， 也 具备 像 测试 一 样 直接 检测 实际 系统 的 能 
力 的 技术 [116Jj。 将 模型 检验 与 测试 的 益处 结合 起 来 并 不 是 毫 无 代价 的 ， 最 终 得 到 的 方法 具有 相 
当 高 的 复杂 度 。 


10.2.1 直接 检验 


在 某 个 〈 相 当 强 的 ) 假设 之 下 ， 可 以 验证 被 测 系统 对 某 个 规约 的 满足 情况 ， 例 如 ， 它 与 另 一 
个 系统 一 致 ， 或 满足 某 些 LTL 属性 。 这 项 技术 可 以 被 看 做 黑 盒 测试 与 模型 检验 技术 的 结合 。 所 要 
实现 的 目标 有 两 个 ， 实现 对 系统 的 完备 验证 ， 以 及 在 被 测 系统 〈 而 不 是 模型 ) 上 直接 进行 验证 。 
这 显然 是 期 望 的 目标 。 然 而 ， 应 用 这 类 方法 所 依赖 的 假设 ， 以 及 相关 算法 可 能 有 着 过 高 的 复杂 度 ， 
意味 着 模型 检验 与 测试 仍然 适用 于 检测 软件 中 的 错误 。 尽 管 这 类 方法 通常 都 涉及 黑 盒 测 试 [84], 
但 我 们 将 使 用 直接 检验 (direct checking) 这 个 术语 来 强调 其 与 基于 抽样 的 测试 技术 的 不 同 。 

直接 检验 的 局 限 

模型 检验 与 验证 通常 是 在 被 验证 系统 的 模型 上 进行 ， 而 不 是 直接 应 用 于 系统 。 这 样 做 的 一 
个 原因 是 ， 如 果 不 引 人 某 些 抽象 技术 的 话 ， 我 们 需要 考虑 的 细节 的 数量 会 很 快 变 得 非常 庞大 。 

但 是 ， 即 使 系统 已 经 处 于 合理 的 规模 之 下 ， 往往 仍然 会 有 不 同 的 需求 妨碍 其 直接 验证 ， 回想 
模型 检验 中 所 需要 的 不 同 操作 ， 为 了 避免 模型 检验 算法 的 无 限 循 环 ， 当 状 态 空间 中 出 现 循 环 时 ， 
CHALOMUED HARLEPERONT REDRET D A eee 
《与 理想 化 的 模型 相对 ) 的 搜索 过 程 中 遇 到 的 两 个 状态 的 信息 可 能 会 有 较 高 的 开销 ， 比如 说 ， 它 
可 能 需要 比较 被 测 系 统 转 储 的 关键 信息 。 在 某 些 情 况 下 ， 完 整 的 状态 信息 可 能 甚至 都 不 存在 。 n 
如 ， 在 硬件 或 是 戏 人 式 系统 中 ， 某 些 状态 信息 在 任 一 外 部 端口 中 可 能 都 不 直接 可 用 。 

直接 检验 的 另 一 个 困难 之 处 在 于 对 一 一 个 给 定 的 状态 在 不 同 的 环境 参数 下 执行 同样 的 行为 有 
可 能 会 走向 不 同 的 状态 。 这 类 行为 非 确定 性 可 能 是 系统 内 部 的 计时 约 东 或 是 其 他 非 预 见 的 外 部 
因素 导致 的 ， 例 如 温度 或 湿度 。 问 题 在 于 ， 在 测试 中 所 进行 的 所 有 实验 可 能 都 是 通过 一 个 非 确定 
选项 , 但 当 系统 被 部 署 到 域 中 之 后 ， 不 同 的 环境 可 能 会 导致 男 一 个 选项 成 为 必然 选择 。 在 这 些 例 
子 中 ， 形 式 化 方法 几乎 无 法 给 出 保证 。 一 个 解决 方法 是 ， 在 不 断 地 改变 那些 可 能 会 造成 非 确定 性 
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分 支 的 不 同 的 参数 的 情况 下 重复 实验 。 但 是 ， 在 缺少 被 测 系统 内 部 结构 知识 的 情况 下 ， 不 能 完全 
保证 所 有 的 选项 都 被 遍历 过 。 


10.2.2 BRAS 


关于 黑 盒 测试 的 相关 文献 包括 这 类 系统 的 多 个 变种 。 比 如 说 ， 黑 盒 系统 可 以 允许 或 不 允许 
输出 ， 或 从 一 个 给 定 的 状态 给 出 动作 的 可 执行 性 的 指示 。 为 简单 起 见 ， 我 们 将 会 研究 一 类 特定 的 
模型 ， 而 对 其 他 变种 的 分 析 也 照 此 进行 。 接 下 来 ， 我 们 假定 黑 盒 系统 具有 以 下 特性 : 
。 具有 ?个 状态 的 有 限 状 态 系统 。 其 中 一 个 状态 ,被 确定 为 唯一 的 初始 状态 。 或 者 规模 就 
是 >， 或 者 其 规模 上 界 是 已 知 的 。 系 统 不 会 给 出 当前 状态 特征 的 任何 指示 NEB 
Creset) 的 情况 除外 ， 如 下 所 述 ) 。 
° 动作 (action) 的 有 限 字 符 集 X, WEA 4。 这 是 用 户 试验 该 系统 时 可 用 的 所 有 可 能 的 输入 。 
转换 关系 ， 其 中 的 转换 用 中 的 动作 标记 。 
° 存在 一 个 动作 在 当前 状态 是 否 可 执行 的 指示 (可 以 将 指示 看 做 是 0 或 1 的 输出 )。 如 果 该 
动作 是 可 执行 的 ， 系 统 也 会 根据 转换 关系 移 向 后 继 状态 〈 后 继 状态 可 能 与 原状 态 相 同 ) 。 
如 果 不 可 执行 的 话 ， 系 统 会 停 在 同一 个 状态 。 在 更 一 般 的 情况 下 ， 这 可 以 用 输出 的 有 限 
REPR. 
可 靠 的 重 置 能 力 。 执 行 重 莉 确保 系统 回 到 其 唯一 初始 状态 o 即 重 置 是 可 靠 的 。 我 们 将 会 
在 10. 2. 6 节 中 看 到 为 什么 这 个 假设 很 重要 。 

实验 是 动作 与 重 置 组 成 的 一 个 序列 ， 用 于 验证 黑 盒 系统 的 某 些 属性 。 直接 检验 的 复杂 度 被 
定义 为 黑 盒 系统 之 上 执行 的 实验 的 长 度 。 有 趣 的 是 ， 要 注意 对 直接 检验 的 复杂 度 分 析 同 复杂 度 
理论 中 的 常规 分 析 有 所 不 同 。 这 是 因为 在 一 般 的 算法 中 ， 输 人 是 事先 已 知 的 ; 而 在 直接 检验 中 ， 
则 是 在 不 完全 了 解 黑 盒 系 统 情况 的 前 提 下 ， 通过 执行 实验 以 改变 黑 盒 系统 的 内 部 数据 结构 。 因 
为 这 个 缘故 ， 对 直接 检验 的 建 模 经 常 使 用 不 完全 信息 博弈 论 (games with incomplete information) 
的 理论 [122]。 这 里 将 只 会 给 出 复杂 度 分 析 的 非 形式 化 描述 。 


10.2.3 组 合 锁 自 动机 


组 合 锁 自 动机 [102，103] 在 证 明 关于 黑 盒 有 限 状态 系统 的 实验 的 复杂 度 下 界 时 起 着 重要 作 
用 。 也 就 是 说 ， 它 们 提供 了 一 个 说 明 直 接 检 验 可 能 高 耗 时 的 标准 例子 。 对 每 个 这 样 的 自动 机 ， 存 
ERT ERR “>” ERRE ass 上 ，s 二 4 为 初始 状态 ， 并 且 状 态 s, 没有 可 执行 
的 转换 。 对 每 个 状态 si< rm ， 都 存在 一 个 到 状态 s,,, 的 标记 为 有 Ez 的 转换 。 对 所 有 其 他 的 字母 
YEZ\ {8}， 都 存在 一 个 从 s 回 到 初始 状态 的 标记 为 
7 的 转换 。 这 样 一 个 自动 机 就 是 对 88 …B-1 的 一 个 
组 合 锁 (combination lock)。 图 10.4 描述 了 一 个 n 二 5 
的 组 合 锁 自动 机 。 

在 组 合 锁 自 动机 中 ， 一 个 通 向 唯一 无 后 继 的 
状态 5, 的 序列 必须 有 长 度 为 4 一 1 的 前 经， 也 就 是 
久 忆 … 有 ~-:。 这 是 一 个 必要 非 充分 条 件 。 例 如 ， 图 10.4 中 的 自动 机 ， 当 BAR RAB) 的 时 
É, EPI ABBR RR 之 下 不 会 达到 死 锁 状态 ， 因为 序列 中 第 二 个 及 只 会 导致 自动 机 回 到 其 初 
始 状态 。 


10.2.4 黑 盒 死 锁 检测 
我 们 首先 讨论 一 个 简单 的 验证 问题 : 给 定 一 个 不 超过 n 个 状态 的 确定 性 黑 盒 有 限 状 态 系统 





图 10,4 组 合 锁 自 动机 
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下， 我 们 需要 检验 该 自动 机 是 否 会 死 锁 ， 也 就 是 到 达 了 一 个 不 存在 任何 可 能 的 输入 的 状态 。 在 这 
个 问题 中 ， 模 型 中 一 部 分 是 未 知 的 ， 要 通过 实验 学 习 。 

直接 而 低 效 的 解决 方案 是 从 初始 状态 开始 系统 地 检验 中 的 所 有 长 度 为 n 一 1 的 动作 序列 。 
注意 4 一 1 个 动作 有 d" 种 不 同 的 组 合 方式 。 这 使 得 这 个 问题 极度 困难 ， 并 且 问 题 的 下 界 ， 也 就 
是 最 差 情 况 下 的 复杂 度 不 考虑 同时 使 用 少 于 d"' 个 动作 的 算法 。 

为 了 说 明 这 一 点 ， 考虑 这 样 一 个 容许 在 任何 状态 接收 任何 输入 的 黑 盒 自动 机 B 因此 也 不 存 
在 死 锁 )。 考 不 一 个 在 检查 死 锁 过 程 中 执行 的 、 由 三 中 的 动作 与 重 秆 构成 的 实验 op。 假 定 o 中 出 现 
的 动作 少 于 xd” 个。 那么 至 少 存在 一 个 动作 序列 BBB PERF o 的 实验 中 连续 出 现 。 如 果 
我 们 以 一 个 对 BAB HASH A C 来 取代 上 面 的 自动 机 B， 实 验 p 将 会 针对 B 与 C 之 上 
动作 的 成 功 与 失败 给 出 相同 的 指示 。 既 然 实验 无 法 区 分 这 两 个 自动 机 ， 那 么 我 们 就 可 能 会 错误 
地 判断 C 中 不 存在 死 锁 。 因 为 随意 选择 了 实验 p， 就 不 存在 长 度 小 于 d"! 的 有 效 选择 。 检 验 更 加 
复杂 的 属性 显然 也 不 会 更 容易 。. 


10.2.5 一 致 性 测试 


RAJI (conformance testing) 要 将 一 个 给 定 的 系统 模型 A 和 一 个 黑 盒 系统 B 进行 比 
较 。 比 较 成 功 则 意味 着 A 与 B 允许 完全 相同 的 序列 ， 那 么 就 可 以 通过 使 用 模型 A 来 间接 检测 系 
统 B 的 属性 。 回 想 一 下 ， 黑 盒 自动 机 B 中 只 有 确定 性 转换 。 它 会 通过 将 动作 a 应 用 于 当前 状态 
来 给 出 成 功 或 是 失败 的 指示 。 更 进一步 ， 它 还 允许 将 系统 重 置 回 其 唯一 的 初始 状态 。( 注 意 既 然 
我 们 的 模型 中 只 有 确定 性 动作 ,那么 ，A 和 的 语言 是 等 价 的 ， 这 意味 着 根据 8.5 节 中 给 出 的 等 
价 关 系 ，A 和 B 是 等 价 的 .》 

我 们 初步 假定 B 具有 的 状态 数量 不 超过 A。 所 给 出 的 算法 是 B 的 状态 数量 的 多 项 式 。 我们 
随后 将 给 出 当 只 知道 B 的 规模 估计 值 的 一 个 上 界 mn, FA 
模型 A 的 状态 数量 依然 为 n 的 情况 下 ， 检验 A AB 之 间 一 致 性 
的 算法 。 该 算法 与 差 值 mn 呈 指数 关系 。 这 也 是 一 致 性 测试 A a 
的 下 界 ， 意 味 着 如 果 估 计 值 m 远 远 高 于 实际 的 状态 数 HE, 

一 致 性 测试 是 非常 难 检测 的 。 

如 果 不 知 道 B 的 规模 的 估计 值 ， 就 无 法 通过 有 限 的 实验 来 
保证 A 与 B 是 相同 的 。 为 了 说 明 这 点 ， 考 虑 图 10. 5， 其 中 左 图 10.5 ”两 个 不 一 致 的 自动 机 
边 的 自动 机 展示 了 一 个 包含 了 ap 循环 (采用 正则 语言 的 语法 定 
XH) Ga") 的 模型 4。 如 果 测 试 序列 的 长 度 最 大 为 二 的 话 ， 那 么 右边 的 实际 系统 很 有 可 能 在 连 ` 
续 重 复 了 Jav21 一 1 次 a 后 以 ay 结束 循环 ， 而 不 是 aB. 

令 3 为 具有 ?个 元 素 的 4 的 状态 集合 ，4 为 它 的 〈 确 定性 ) 转换 关系 。 倘 若 BM s 执 
行 ， 那 么 我 们 就 有 enabled(s, a), HHH AC, a) ERRARE. IAA 和 B 所 共用 的 规模 为 
d 的 字符 集 。 

我 们 假定 A 已 被 最 小 化 ， 也 就 是 说 ， 不 存在 能 够 识别 出 与 4 相同 的 序列 的 更 小 的 自动 机 。 
如 果 4 未 被 最 小 化 ， 那 么 它 肯定 有 至 少 两 个 状态 s 与 ~， 不 能 被 任意 长 度 的 实验 区 分 开 来 Ar 
都 允许 完全 一 样 的 序列 ) 。 最 小 化 确定 性 自动 机 能 够 通过 下 面 的 算法 实现 ， 该 算法 与 8.8 节 中 所 
描述 的 检验 互 仿真 等 价 的 算法 相 类 似 。( 实 际 上 ， 互 仿真 等 价 算法 经 常 在 模型 检验 中 被 用 来 实现 
对 状态 空间 的 最 小 化 ， 用 以 发 现 那些 不 能 被 互 仿真 等 价 所 区 分 的 属性 ， 例如 分 支 时 序 逻 辑 CTL， 
以 及 表达 能 力 更 强 的 CTL" 属性 ， 参 见 (20, 30].) 我 们 在 这 里 使 用 该 算法 不 仅 是 为 了 对 自动 机 
A 进行 最 小 化 ， 间 时 也 是 因为 它 在 执行 过 程 中 生成 了 一 组 可 将 A 中 的 状态 彼此 区 分 开 来 的 序列 
集合 。 这 些 序列 将 会 用 在 后 面 的 一 致 性 测试 算法 中 。 
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对 每 一 (无 序 的 ) 对 不 同 的 状态 * 与 >， 我 们 维护 一 个 序列 dist(s, r) 用 以 区 分 ;与 +。 也 就 
是 说 ，s 或 r 其 中 一 个 允许 这 个 序列 ， 而 另 一 个 不 行 。 因 此 ，distCs， 门 一 dist(r，5 。 如 果 = 是 一 
个 动作 序列 ，a 是 一 个 动作 ， 那 么 a.o 表示 将 字符 a 加 入 到 序列 o 的 前 端 。 

计算 区 分 序列 

1. 初始 时 ， 对 每 一 对 s 与 7-， 设 置 dist(s, r) :一 e( 空 序列 ) 。 

2. 对 每 一 对 不 相交 的 状态 s，rES， 以 及 动作 aES， 如 满足 enabled(s, a) 但 不 满足 enabled(r, a), 

我 们 设置 dist(s, r) :一 a。 
3. 重复 直至 dit 条 目 没有 发 生变 化 为 止 。 
如 果 存 在 状态 5S，7E S 以 及 动作 waE 了 满足 
a) dist(s, r) *=e 
b) enabled(s, a) 44 enabled(r, a) 
c) dist(A(s, a), ACr, a)) Æe 
那么 设置 dist(s, r) *=a. dist(A(s, a), Alr, a)). 

因此 ， 伪 车 能 够 从 两 个 状态 执行 某 些 不 同 的 动作 的 话 ， 这 两 个 状态 便 不 能 合并 。 同 样 ， 如 果 
能 使 用 序列 将 * 与 区 分 开 来 ,并且 * 与 > 可 以 通过 执行 动作 a 而 分 别 到 达 状 态 ;' 与 + 的话 ， 那 
么 :与 7 可 以 使 用 序列 a.o 区 分 开 来 。 | 

在 算法 的 最 后 ， 我 们 可 以 将 每 个 满足 对 任意 一 对 状态 s, r€ C, WA distls, r) =< 的 最 大 状 
态 子 集 CCS 合并 为 一 个 单独 的 状态 。 那 么 我 们 就 能 得 到 ， 如 果 有 ssEC， 且 A(s，weCc'，C 中 
的 每 一 个 状态 在 执行 了 a 之 后 都 会 转 人 到 C' 中 的 一 个 状态 (参见 [69]) 。 这 些 所 构造 的 状态 的 等 
价 类 实际 上 就 是 最 小 化 自动 机 中 的 状态 的 ， 并 且 两 个 子 集 C 与 C' 之 间 的 转换 关系 也 同样 遵循 任 


意 两 个 状态 s€ C 与 rE C' 之 间 的 转换 。 也 就 是 说 ， 如 果 sw 则 有 C 一 >C'。 如 果 自 动机 A 已 
经 是 最 小 化 的 ， 那 么 它 的 每 一 个 状态 等 价 类 都 是 单元 素 类 。 
C 的 区 分 集 (distinguishing set) 定义 为 ， 

ds(C) = {dist{ssr)|s Ee C A r €O) 
最 小 化 算法 的 一 个 属性 是 C 中 的 每 一 个 状态 都 会 完全 人 允许 或 不 允许 ds(C) 中 的 相同 序列 。 进 而 ， 
对 其 他 任 一 个 状态 集合 C ， 都 至 少 在 ds(C) 与 ds(C'〉 中 存在 一 个 公共 序列 z, C 中 的 所 有 状态 
执行 “的 表现 与 C 中 的 状态 正好 相反 。 也 就 是 说 ， 如 果 a 能 够 从 C' 的 任意 一 个 状态 执行 ， 那 么 它 
必然 不 能 从 C 的 任意 一 个 状态 执行 ， 反 之 亦 然 。 重 要 的 是 需 注意 每 个 集合 ds(C) 最 多 能 容纳 
7 一 1 条 序列 《因为 对 除了 s 本 身 之 外 的 其 他 nn 一 1 个 状态 中 的 每 个 状态 至 多 有 一 条 区 分 序列 ) Hj 
见 上 述 算法 可 以 按 如 下 方式 分 为 最 多 n 一 1 个 阶段 执行 ， 在 每 个 阶段 ， 前 一 个 阶段 的 原 disr(s, r 
被 用 于 计算 这 个 阶段 的 disi(s，r) 。 每 个 阶段 找到 的 新 的 区 分 序列 的 长 度 至 多 比 前 一 个 阶段 所 找 
到 的 增长 一 个 单位 。 因 此 ，ds(C)〉 中 的 每 条 序列 的 长 度 必 然 小 于 n. 

区 分 集 有 助 于 构造 一 致 性 测试 算法 。 即 使 A 已 经 最 小 化 ， 我 们 仍 采 用 上 述 算法 获取 区 分 集 。 
在 这 种 情况 下 ， 每 个 组 件 C 都 包含 唯一 节点 。 因 为 我 们 要 假设 当 A 已 被 最 小 化 ， 我们 要 用 ds(s) 
表示 状态 ; 的 区 分 集 。 

一 致 性 测试 的 一 个 任务 便 是 检验 B 至 少 和 A 有 同样 多 的 状态 。 一 个 很 有 效 的 解决 方法 是 检 
验 是 否 对 A 的 每 个 状态 >， 都 在 B 中 存在 对 应 的 状态 s， 使 得 ;与 + 能 够 通过 从 它们 各 自 自 动机 
的 初始 状态 执行 同样 的 序列 而 达到 ， 并 且 这 两 个 状态 对 于 ds(r) 中 的 每 个 序列 的 可 执行 性 也 能 
达成 一 致 。 为 了 实现 对 序列 o € ds(r) 的 检验 ,我们 首先 重 置 B 为 初始 状态 ， 并 生根 据 从 A an 
始 状态 到 状态 + 的 路 径 在 上 执行 相应 的 动作 。 而 后 ， 我 们 可 以 在 B 上 执行 a。， 并 检查 关于 从 当 
及 状态 接受 这 个 序列 ，B 是 否 与 4 有 所 不 同 。 我 们 需要 对 ds(r) 中 的 每 一 个 序列 都 重复 该 检验 
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过 程 。 

区 分 集 的 构造 规定 了 对 A 中 的 每 一 对 状态 s 与 -，ds(s) 5ds) 中 至 少 存在 一 条 公共 序列 ， 
该 序列 仅 允 许 从 其 中 一 个 状态 执行 ， 而 无 法 从 另 一 个 状态 执行 。 如 果 B 已 经 通过 了 上 面 的 测试 
并 且 和 A 中 的 每 一 个 区 分 集 保持 了 一 致 ， 我们 可 以 保证 BEDA n 个 不 同 的 状态 。 既 然 我 们 知 
jË 4 同时 也 是 B 的 规模 上 界 ， 那 么 B 就 正好 有 个 状态 。 

另 一 个 任务 是 检查 B 中 的 转换 是 否 与 A 中 的 转换 以 相同 的 方式 执行 。 假 设 A 中 有 转换 AG. a=, 
我 们 能 够 对 每 一 个 序列 oz€ ds(r"〉 重复 下 面 的 工作 : FH, SE B, 然后 ， 挑 选 出 将 A 从 初始 状 
态 转 换 到 状态 r 的 动作 序列 并 且 将 这 个 序列 应 用 于 B; 接着 ， 我们 执行 动作 <， 而 后 执行 o 查看 
针对 序列 o 所 得 到 的 状态 的 行为 是 否 与 ”相同 。 

为 了 使 上 述 所 有 检验 系统 化 ， 我 们 可 以 为 AMIR Tr, RRMA 的 每 个 节点 与 每 
个 转换 至 少 一 次 。 这 样 的 一 棵 树 是 A 从 初始 状态 .出 发 得 到 的 生成 树 的 一 部 分 。 因 为 在 任何 路 径 
上 ， 至 多 只 有 一 个 节点 会 重复 两 次 〈 即 最 后 一 个 节点 ) ， 所 以 显然 Tr 的 层 数 不 超过 n。 我 们 沿 着 
Tr 中 的 每 一 条 路 径 p (不 需要 是 最 大 的 ) 并 且 在 黑 盒 系统 B 中 进行 仿真 。 令 r 为 模型 A CEE 
并 且 执行 了 po 之 后 所 达到 的 节点 。 我 们 在 B 上 仿真 ds(r) 中 的 每 一 个 序列 so， 将 其 和 A 在 重 置 与 
执行 紧 跟着 o 的 po 之 后 的 行为 作 比 较 。 注 意 在 检验 ds(r) 的 每 个 序列 之 前 ， 我 们 必须 重 置 以 及 执 
AT BRE o 以 再 次 到 达 状 态 ~。 

Tr 的 节点 最 多 有 2XnXd 个 。 对 每 个 节点 ， 我 们 需要 检验 最 多 n 一 1 个 序列 。 每 个 这 样 的 序 
列 的 长 度 最 大 为 2n 一 1 针对 那些 在 树 上 的 路 径 ， 后面 紧 跟着 一 条 来 自 区 分 集 的 路 径 )。 因 此 ， 
测试 序列 的 长 度 为 O(dX x), 

现在 考虑 这 样 一 个 例子 ， 已 知 B 的 状态 数 最 大 为 m, IFA m>>n。 有 可 能 B 并 未 经 最 小 化 ， 但 依 
然 与 4 等 价 。 一 个 难以 检验 的 黑 盒 系 统 以 下 面 非 形 式 化 的 方式 描述 ， 黑 盒 B 有 几 个 状态 仿真 A 的 状 
态 ， 而 B 额 外 的 m 一 x 个 状态 形成 了 这 样 一 条 路 径 gs s s ，…，s_,， 其 行为 方式 类 似 于 组 合 锁 自 
动机 。 如 果 我 们 不 是 在 执行 组 合 ， 则 转 到 前 ”个 节点 中 的 一 个 ， 以 仿真 A 的 行为 。 如 果 我 们 正在 执行 
组 合 ， 则 从 一 个 节点 转向 下 一 个 ， 直 到 到 达 最 后 一 个 节点 w%_。。 最 后 一 个 节点 的 行为 与 A 中 的 不 同 ， 
如 图 10.6 所 示 。 为 了 检测 这 样 一 个 序列 ， 需 要 通过 找到 组 合 以 到 达 最 后 一 个 状态 。_，。 

















图 10.6 从 黑 盒 自动 机 的 一 个 状态 出 发 的 组 合 镇 


本 例 中 的 算法 构造 了 树 Tr， 但 试图 从 它 的 每 个 节点 执行 m 一 n 个 或 更 少 的 动作 的 组 合 。 对 每 
个 这 样 的 组 合 ， 我 们 检验 最 后 一 个 到 达 状 态 。 如 果 对 4 执行 重 置 ， 接 着 执行 Tr 中 的 一 条 路 径 ， 
BET Z hm —n ERREA, WS rh A 中 所 到 达 的 状态 。 从 这 个 状态 出 发 ， 我 们 将 
ds(7) 中 的 序列 在 A 与 妃 上 的 行为 进行 比较 GERN ds(r) 中 的 每 个 序列 ， 需 要 重复 执行 重 置 和 
到 达 当 前 状态 )。 这 里 给 出 了 一 个 长 度 为 OCm* X2nX d" tiy 的 实验 。 


10.2.6 检验 重 置 的 可 靠 性 
在 前 一 节 ， 给 定 可 靠 的 年 置 操作 的 情况 下 ， 我 们 给 出 了 用 于 一 致 性 测试 的 算法 。 这 意味 着 我 
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们 事先 假定 了 每 次 都 能 通过 使 用 重 置 操作 将 黑 盒 系统 带 回 同样 的 初始 状态 。 

我 们 现在 要 通过 一 个 例子 说 明 ， 即 使 在 我 们 已 经 知道 了 系统 B 的 内 部 结构 这 一 强 假设 情况 
下 ， 对 某 些 系统 我 们 还 不 能 测试 重 置 操作 的 可 靠 性 。 当 然 ， 如 果 我 们 对 重 置 操作 进行 多 次 测试 ， 
并 不 能 保证 它 之 后 的 行为 也 与 测试 中 的 相同 ， 然 而， 我 们 要 说 明 的 是 ， 
我 们 甚至 不 能 提供 在 某 些 实验 中 重 置 行为 符合 预期 的 证 据 。 

考虑 图 10.7 中 的 系统 。 假 设 重 置 是 厅 可 车 的 ， 并 且 可 能 会 跳 向 系统 
Pss so s 中 的 任 一 个 状态 。 如 果 我 们 应 用 了 重 置 ， 可 能 会 转 到 s 或 
=， 随 后 执行 动作 e， 前 面 的 丙种 情况 都 会 到 达 状 态 *。 所 以 ， 任 何以 “加 io ， ARINE 
开始 的 测试 都 不 能 帮助 我 们 区 分 这 两 种 情况 ， 同 样 ， 如 果 我 们 应 用 了 重 waa Re 
置 ， 转 到 s, 或 s,， 随 后 执行 动作 8， 在 两 种 情况 下 都 会 到 达 状 态 se Bi 的 检验 不 可 行 
以 ， 区 分 实验 同样 也 不 能 以 8 开始 。 的 一 个 系统 

那么 ， 应 用 “或 是 p 都 不 能 确保 将 重 置 之 后 可 能 处 于 不 同 状态 的 情况 相互 区 分 开 来 。 但 是 在 
实验 中 又 必须 从 a 或 8 中 选择 一 个 作为 实验 的 第 一 个 动作 。 如 果 猜 得 不 对 ， 该 选择 可 能 会 对 区 分 
能 力 造 成 损害 。Moore [102] 将 这 种 现象 作为 海 森 堡 不 确定 准则 的 离散 对 应 。 





10.2.7 RARE 
前 几 章 中 所 讨论 的 模型 检验 与 测试 ， 是 两 种 提高 系统 可 靠 性 的 相辅相成 的 方法 。 模 型 检验 
通常 用 于 检验 有 限 状态 系统 的 设计 是 否 满足 某 些 属性 〈 例 如 ， 互 斥 现象 或 是 响应 能 力 ) 。 另 一 方 


面 ， 测试 通 常 在 缺乏 对 内 部 结构 的 使 用 经 验 或 了 解 的 情况 下 应 用 于 实际 系统 。 它 检验 系统 (或 实 
现 ) 是 否 符合 某 个 设计 “〈 非 形式 化 的 说 法 就 是 ， 具 有 同样 的 行为 )。 即 使 可 以 使 用 被 测 系统 的 内 
部 结构 ， 在 测试 中 使 用 内 部 结构 信息 也 不 是 一 个 好 主意 ， 因 为 这 部 分 信息 可 能 会 干扰 测试 过 程 。 
此 外 ， 整 个 系统 可 能 规模 庞大 〈 例 如 ， 几 百 万 行 代 码 )， 而 我 们 只 关注 系统 的 某 些 特定 方面 。 举 
人 鲍 来 说 ， 我 们 可 能 想 要 检查 典型 电话 交换 机 中 某 个 特性 的 具体 实现 ， 比 如 说 “呼叫 等 待 ”， 是 否 
满足 某 些 正确 性 属性 。 从 整个 系统 中 抽取 出 相关 代码 ， 尤 其 是 对 于 巨大 的 遗留 系统 ， 几 乎 是 不 可 
实现 的 (并 且 其 本 身 也 容易 导致 错误 )。 

假设 有 意 对 某 个 系统 一 一 例如 电话 交换 机 一 一 的 特定 属性 进行 检验 。 模 型 检验 适用 于 检验 
系统 模型 的 属性 ， 而 不 是 检验 系统 本 身 。 另 一 方面 ， 测 试 方法 能 够 将 系统 与 某 抽象 设计 进行 比 
较 ， 但 是 通常 不 会 用 来 检验 特定 的 属性 。 

黑金 检验 [116] 用 于 处 理 那些 验收 测试 需要 由 不 知道 被 检验 系统 的 设计 及 内 部 结构 的 用 户 
来 执行 的 情况 。 它 结合 了 前 述 的 两 种 方法 ， 对 结构 未 知 的 有 限 状 态 系统 的 属性 进行 自动 检验 。 关 
于 这 类 结构 的 假设 与 前 面 所 讨论 的 黑 盒 一 致 性 测试 算法 相同 。 

然而 ， 我 们 另外 还 用 规约 自动 机 来 表示 被 检验 属性 (及 其 否定 )。 它 是 直接 给 出 或 是 如 第 6 
章 中 所 示 由 LTL 转换 为 自动 机 。 规 约 自动 机 详细 规定 了 多 许 的 转换 序列 ， 相 对 于 在 建 模 和 规约 
中 使 用 至 今 的 状态 序列 。 黑 盒 检验 的 问题 是 上 面 所 提 到 的 模型 检验 问题 的 变 体 ， 给 定 了 表示 被 
检验 属性 不 允许 的 执行 的 自动 机 ， 但 没有 透露 被 检验 系统 的 内 部 结构 ， 只 有 如 上 所 述 的 一 些 实 
验 可 以 在 其 上 执行 。 我 们 仍然 需要 检验 系统 是 否 满足 某 些 给 定 的 属性 。 

黔 盒 检验 工作 的 重心 是 选择 合适 的 计算 模型 。 与 标准 算法 问题 不 同 ， 输 入 并 没有 在 计算 的 
开始 阶段 给 出 ， 而 是 通过 一 组 实验 学 习 得 到 的 。 因 此 ， 常 常 使 用 不 完全 信息 博弈 理论 [122] 进 
行 分 析 。 这 里 我 们 不 准备 讨论 这 些 问 题 。 

ERA d 个 字母 的 共用 字符 集 之 上 ， 给 定 一 个 具有 m 个 状态 的 规约 Bichi 自动 机 A， 以 及 
一 个 状态 数量 不 超过 n 的 黑 盒 实现 自动 机 B， 我 们 要 检验 是 否 存在 一 个 序列 能 够 同时 被 A 与 B 
所 接受 。 属 性 自动 机 A 接受 坏 执 行 ， 即 那些 不 被 允许 的 执行 (参见 6. 3 节 ) 。 因 此 ， 如 果 原 先 用 
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比如 线性 时 序 逻 辑 [119」 属 性 gp 给 出 属性 ， 那么 A 是 与 ~8 对 应 的 自动 机 。 令 为 A 的 状态 数 。 
注意 自动 机 A 不 一 定 是 确定 的 ， 并且 可 以 有 多 个 初始 状态 。 

我 们 这 里 只 给 出 一 个 简单 的 算法 来 执行 黑 盒 检验 [116]。 这 并 不 是 已 知 效率 最 高 的 算法 ， 但 
却 是 易于 理解 的 ， 并 且 它 能 够 很 好 地 展示 测试 与 模型 检验 两 方面 技术 的 可 能 的 联系 。 

此 算法 检验 互 上 可 能 的 动作 序列 。 对 每 个 序列 ， 它 从 某 个 初始 状态 开始 ， 改 变 已 知 自动 机 A 
的 状态 ， 同 时 ， 在 对 B 进行 重 覆 后 同样 的 序列 被 用 于 在 黑 盒 自动 机 B 上 进行 实验 。 我 们 要 检查 
A 与 B 的 交集 是 否 非 空 ， 并且 找到 该 情况 的 反例 。 注 意 B 中 所 有 的 状态 被 视 为 可 接受 ， 因 此 交 
集中 每 个 状态 的 接受 率 决定 于 其 A 分 量 的 接受 率 。 我 们 彻底 地 重复 这 个 实验 ， 除 了 那些 被 黑 盒 
自动 机 拒绝 的 前 缀 。 

每 个 实验 都 由 两 条 长 度 限定 在 mk 因为 这 是 交集 中 状态 的 数量 ) 之 内 的 路 径 构 成 。 第 一 
个 序列 oy 需要 在 分 量 A 接受 的 状态 ~ 处 终止 。 第 二 个 序列 on, MA 中 的 状态 r 开始 执行 ， 并 且 
需要 同样 终止 在 状态 r+ 上 。 对 每 对 这 样 的 序列 o, os RIRI m 多 于 mx 次 。 也 就 是 说 ， 我 们 
试图 执行 序列 rm (oa. 。 如 果 我 们 在 每 个 这 样 的 迭代 结束 时 成 功 地 到 达 A 中 的 状态 >， 同时 自动 
机 B EER) 允许 执行 这 个 序列 ， 那 么 这 两 个 自动 机 的 交集 中 必定 经 由 一 个 接受 状态 存在 一 
个 循环 。 这 是 因为 接受 状态 EBS Bm + REED) 状态 的 任 一 个 进行 配对 。 在 这 种 情 
BLP + ora,” 构成 交集 的 一 个 无 限 接受 路 径 ， 并 且 可 以 作为 生成 的 有 限 反 例 给 出 。 

此 算法 的 复杂 度 相 当 高 ， 达 到 了 OCm? X qd*"**Xk)。 这 是 因为 这 类 路 径 有 a? h DJ BE J 35 
择 。 每 条 路 径 的 长 度 都 限定 在 mX k 内， 而 且 我 们 重复 了 该 路 径 mw 十 1 次 。[116] 中 给 出 了 具有 
更 好 复杂 度 的 算法 ,该 算法 是 基于 在 执行 实验 时 学 习 自 动机 的 结构 而 实现 的 [9]，。 


10.3 RAH 


$E Fik (cleanroom method) [98] 是 构造 可 靠 软 件 的 方法 ， 在 20 世纪 70 年 代 后 期 开始 由 
IBM 联合 系统 部 的 Harlan Mills 领导 的 一 组 研究 人 员 提 出 。 该 方法 包括 软件 验证 与 测试 的 相关 要 
素 ， 并 旦 已 经 被 成 功 地 应 用 于 多 个 项 目 。 该 方法 的 主要 原理 与 本 书 中 先前 所 描述 的 方法 没有 大 
的 差异 。 我 们 不 打算 给 出 净 窒 方法 的 具体 细节 ， 只 是 略微 描述 一 下 其 主要 思想 。 感 兴趣 的 读者 可 
以 查阅 相关 文献 或 本 章 最 后 列 出 的 一 本 书 。. 


10.3.1 验证 


净 室 方法 握 出 软件 开发 将 在 对 其 进行 正确 性 验证 时 完成 。 然 而 ， 没 有 真正 运用 公理 与 证 明 
规则 的 证 明 是 非 形 式 化 的 。 净 室 方法 的 实际 证 明 系统 与 7. 4 节 中 描述 的 Hoare 逻辑 在 某 些 方面 有 
所 差异 〈 参 见 [98])， 不 是 明确 指定 程序 单元 的 前 置 条 件 与 后 置 条 件 ， 而 是 给 出 一 个 公式 ， 用 来 
表达 程序 片段 执行 的 开头 与 结尾 处 的 变量 之 间 的 关系 。 


10.3.2 证 明 审 查 


净 室 方法 规定 审查 证 明 ， 而 不 执行 底层 测试 与 审查 代码 。 这 是 由 一 个 小 组 完成 的 ， 类 似 于 软 
件 审查 需要 的 (参见 9. 1 节 ) 。 那 么 程序 员 的 目标 就 是 使 审查 组 确信 他 的 证 明 的 正确 性 ， 这 意味 
着 代码 的 正确 性 。 


10.3.3 测试 


净 室 方 法 要 求 执行 高 层 测试 ， 也 就 是 集成 测试 。 它 认为 底层 测试 不 可 靠 以 及 不 够 公正 ， 并 且 
在 更 可 靠 的 验证 与 证 明 审查 过 程 中 是 不 必要 的 。 实 际 测试 是 基于 在 9. 10 节 介绍 的 概率 测试 的 
原理 。 
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10.4 扩展 阅读 
下 面 的 论文 综述 了 黑 盒 测试 的 各 种 算法 ， 


D. Lee, M. Yannakakis, Principles and methods of testing finite state ma- 
chines - a survey, Proceedings of the IEEE, 84(8), 1090-1126, 1996. 


下 面 的 论文 描述 了 一 些 黑 盒 检验 算法 : 


D. Peled, M.Y. Vardi, M. Yannakakis, Black box checking, Formal Meth- 
ods for Protocol Engineering and Distributed Systems, Formal Methods 


for Protocol Engineering and Distributed Systems, 1999, Kluwer, China, 
225-240. 
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“ 嘿 ， 没 有 笑 的 猫 我 倒 常 常 看 到 ,” 爱 丽 丝 想 , STARA ES! 这 是 我 有 生 以 来 从 没 见 过 


的 最 奇怪 的 事情 忆 
刘易斯 ， 卡 洛 尔 《 爱 丽 丝 漫游 奇 境 记 》 


早期 的 形式 化 方法 是 基于 文本 的 ， 有 具体 包括 对 系统 的 形式 化 表示 、 系 统 属性 的 规约 以 及 与 
工具 、 测 试 和 验证 结果 的 交互 过 程 。 近 年 来 ， 研 究 人 员 和 从 业 人 员 开 始 意识 到 对 软件 进行 可 视 化 
表示 将 会 极 大 地 提高 软件 开发 效率 。 在 许多 情况 下 ， 人 们 通过 对 代码 的 可 视 化 表示 的 观察 ， 能 够 
得 到 一 些 新 的 信息 ， 如 不 同 的 程序 对 象 以 及 它们 之 间 的 关联 、 控 制 流 、 通 信 模 式 等 。 这 种 直观 的 
理解 是 无 法 通过 一 行 一 行 地 阅读 代码 获得 的 。 

使 用 可 视 化 表示 法 的 趋势 在 软件 开发 方法 学 (如 UML [46]) 所 使 用 的 多 种 图 中 都 得 到 了 最 
好 的 反映 。 这 些 不 同 种 类 的 图 可 以 用 于 描述 系统 的 体系 结构 、 系 统 中 包含 的 不 同 进 程 或 对 象 、 进 
程 或 对 象 的 交互 、 进 程 或 对 象 的 转换 、 典 型 和 异常 的 执行 、 系 统 模块 之 间 的 关联 等 等 。 本 章 将 讨 
论 如 何 通过 可 视 化 表示 来 给 形式 化 方法 带 来 益处 。 

可 视 化 系统 所 带 来 的 好 处 是 我 们 可 以 把 呆板 的 语法 映射 成 图 形 化 对 象 之 间 的 关系 。 例 如 ， 
考虑 一 下 ， 在 描述 自动 机 时 ， 使 用 状态 转换 图 或 者 使 用 包括 初始 及 结束 状态 的 状态 转换 表 ， 哪 个 
更 易于 接受 ? 由 此 可 见 ， 可 视 化 的 表示 在 演示 动态 过 程 时 有 着 独特 的 优势 。 再 如 ， 在 表示 模型 检 
验 中 的 某 个 反例 时 ， 一 张 标记 了 执行 路 径 的 流程 图 显然 要 比 只 是 简单 地 列 出 其 所 执行 过 的 代码 
要 更 加 直观 。 


11.1 在 形式 化 方法 中 运用 可 视 化 

我 们 已 经 见 过 了 一 些 既 可 以 用 文本 化 也 可 以 用 图 形 化 描述 的 符号 。 其 一 是 自动 机 ， 它 通过 
文本 化 或 图 形 化 的 方式 来 描述 系统 的 组 成 成 分 。 其 二 是 流程 图 ， 它 使 用 图 的 形式 展示 程序 。 

这 些 示例 展示 了 基于 文字 和 基于 图 形 的 两 种 不 同 表示 方法 。 这 两 种 表示 方法 之 间 的 转换 都 
被 形式 化 地 定义 过 。 形 式 化 方法 的 工具 通常 允许 用 户 与 图 形 化 的 表示 进行 交互 。 对 象 的 添加 、 删 
除 、 复 制 、 大 小 调整 、 重 定位 、 改 变 标签 等 都 已 经 基本 上 成 为 了 图 形 化 表示 方法 中 的 标准 操作 。 
由 于 互联 网 的 广泛 使 用 ， 一 些 常 见 的 选择 或 者 更 新 操作 在 屏幕 上 都 是 以 同样 的 感官 展现 。 而 这 
些 带 给 用 户 的 好 处 就 是 可 以 花费 更 少 的 时 间 来 熟悉 一 个 新 的 系统 。 

由 于 目前 计算 机 对 文本 数据 的 处 理 仍 优 于 对 图 形 化 数据 的 处 理 ， 所 以 基于 可 视 化 表示 的 工 
其 通常 需要 在 图 形 化 和 文本 化 描述 形式 之 间 做 转换 。 基 于 文本 的 表示 通常 是 存储 在 文本 文件 里 
面 的 。 当 工具 需要 使 用 这 个 表示 的 时 候 ， 需 要 先 读 人 这 个 文本 文件 ， 然 后 生成 图 形 化 的 表示 ， 最 
终 显示 出 来 。 当 用 户 通过 和 工具 之 间 的 交互 改变 了 图 形 化 表示 的 时 候 ， 那 么 工具 就 要 对 应 地 修 
改 该 文本 表示 。 

任何 可 视 化 工具 都 需要 与 操作 者 进行 交互 ， 因 此 需要 响应 鼠标 和 键盘 的 操作 ， 并 更 新 图 形 。 
一 些 强 大 的 工具 ， 例 如 X- windows 系统 就 是 为 了 拥有 这 种 交互 能 力 而 开发 的 。 近 儿 年 来 ， 用 于 
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简化 对 图 形 化 接口 进行 编程 的 语言 越 来 越 多 了 ， 如 TCL/TCK [110], 


11.2 消息 序列 图 


消息 序列 图 《Message Sequence Chart，MSC) 在 描述 通信 协议 的 执行 方面 十 分 流行 。 此 外 ， 
它 与 UML 中 描述 对 象 间 交 互 的 用 例 (use- case) 也 密切 相关 [46]。9 MSC 遵循 称 为 ITU- Z120 
[73] 的 国际 标准 。 目 前 ，MSC 是 众多 用 来 设计 通信 系统 [40] 的 标准 描述 技术 之 一 ， 越 来 越 多 
的 工具 提供 了 MSC 接口 [127]. 

每 个 消息 序列 图 描述 了 一 个 涉及 进程 间 通 信 的 场景 。 它 可 以 用 于 描述 一 个 系统 典型 或 异常 
执行 的 通信 结构 ， 以 及 在 测试 或 模型 检验 中 所 找到 的 反例 。 这 些 场 景 描述 了 消息 的 发 送 与 接收 
及 其 顺序 。 图 11. 1 和 图 11. 2 分 别 是 消息 序列 图 的 图 形 和 文本 表示 方法 。 在 图 11. 1 中 ， 每 个 进 
程 被 表示 为 一 条 竖 线 ， 竖 线 上 方 的 方 框 内 包括 进程 名 。 消 息 被 表示 为 横向 的 箭头 ， 从 消息 的 发 送 
方 指向 接收 方 。 消 息 序列 图 刻画 了 一 个 消息 的 发 送 和 接收 事件 。 通 常情 况 下 ，MSC 会 忽略 对 其 
他 事件 的 刻画 ， 如 判定 与 赋值 事件 。 





instance P2; 

















MSC; : 
msc 5 in Ml from P1; 
inst Pl: process Root, 
out M2 to P3; 
P2: process Root, out M3 to P3: 
Pi P2 P3 : Root; 
C ] 人 z | | P3: process Roo in M4 from P3; 
MI out M5 to Pl; 
M2 endinstance; 
一 一 一 -一 一 一 | 
instance P3; 
L M in M2 from P2; 
M4 | instance P1; in M3 from P2; 
一 一 out M1 to PZ; out M4 to P2; 
M5 in M5 from P2; out M6 to P1; 
a M6 in M6 from P3; endinstance; 
endinstance; endmsc; 
一 























图 11.1 一 个 消息 序列 图 的 例子 图 11.2 图 11.1 中 消息 序列 图 的 文本 表示 方法 


(基于 ITU- 120 标准 ) 

支持 消息 序列 图 的 一 些 工具 ， 例 如 Msc [8]， 均 支持 使 用 图 形 或 文本 两 种 格式 来 描述 消息 序 
列 图 [73]。 因 此 消息 序列 图 可 以 通过 绘制 图 形 或 者 输入 文本 的 方式 来 生成 。 

我 们 分 配给 每 个 消息 序列 图 一 个 事件 的 偏 序 集 作为 其 语义 表示 。MSC 的 语义 取决 于 一 些 结 
构 上 的 参数 ， 这 些 参数 在 先进 先 出 或 非 先进 先 出 队列 、 单 输入 与 多 输入 消息 队列 的 结构 中 都 不 
尽 相 同 。 在 每 种 选择 下 ,会 在 行为 上 体现 出 轻微 的 差别 [8]。 

每 个 消息 序列 图 对 应 一 个 图 〈(S，<)。 我 们 考虑 它 的 语义 解释 如 下 ， 假定 两 个 消息 序列 图 
的 事件 p, q€ S, p<q ER 在 g 之前， 在 如 下 情况 ， 

因果 关系 : 发 送 事件 p 和 相应 的 回复 事件 g。 

控制 关系 : 事件 p, q 在 同一 进程 队列 中 ， 且 p 出 现在 g 之前， 4 是 一 个 消息 发 送 事件 。 这 
种 顺序 反映 了 消息 发 送 事件 在 执行 前 需要 等 待 其 他 事件 发 生 的 情况 。 然而 另 一 方面 ， 我 们 一 般 
很 少 对 消息 接收 事件 的 顺序 进行 控制 。 

先进 先 出 (FIFO) 顺序 : 接收 事件 p. ç 在 同一 进程 队列 中 ， H > he 现在 接收 事件 之 前 。 
它们 的 相应 发 送 事件 如 和 9 也 出 现在 同一 进程 队列 中 ， 且 p 在 gq 之 前 。 

因此 ， 单 独 的 消息 序列 图 表示 了 事件 的 一 个 偏 序 集 ， 正 如 在 4. 13 节 中 讨论 的 。 图 11. 1 中 的 





日 ”实际 上 应 该 是 UML 的 序列 图 (sequence diagram) 。 一 一 译 者 注 
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发 送 与 接收 事件 的 偏 序 关 系 如 图 11.3 所 示 。 图 11. 1 中 的 消息 序列 图 描述 了 进程 P1、P2、P3 的 
交互 过 程 。 进 程 Pl 向 P2 发 送 消息 MI。 在 P2 接收 到 该 消息 后 ， 发 送 两 条 消息 M2、M3 到 P3. 
在 P3 接收 到 M3 后 ， 向 P2 发 送 消息 M4， 稍 后 再 向 Pl1 发 送 M6。 消 息 M5 在 M6 之 前 被 PI 接 
收 。M5 和 M6 的 发 送 事件 是 没有 先后 顺序 的 。 

我 们 可 以 在 消息 序列 图 中 应 用 一 些 简单 的 验证 算法 。 其 中 一 种 是 检查 消息 序列 图 中 是 否 存 
在 竞争 条 件 《race condition) 。 竞 争 条 件 可 以 由 这 样 的 情况 导致 ， 对 于 包括 至 少 一 个 接收 事件 的 
一 组 事件 ， 我 们 只 对 其 顺序 进行 了 有 限 的 控制 (除了 当 两 个 接收 者 接收 的 消息 源 自 同一 个 进程 
时 ， 根 据 先 进 先 出 语义 并 不 会 出 现 问题 ) 。 举 个 例子 ， 如 图 11. 1 所 示 ， 消 息 序列 图 中 的 进程 Prl 
包含 了 两 个 消息 接收 事件 (M5 和 M6)， 由 于 每 个 进程 队列 (process line) 是 一 维 的 〈 即 顺序 执 
行 的 )， 因 此 消息 序列 图 的 符号 必须 确定 选择 先 处 理 其 中 一 个 接收 事件 ， 并 把 另 一 个 放 在 后 面 。 
然而 这 两 个 消息 是 从 P2 和 P3 两 个 不 同 进 程 发 送 的 ， 因 此 Me 可 能 比 M5 先 到 达 。 所 以 ， 在 使 用 
消息 序列 图 描述 时 ， 我 们 并 没有 理由 确定 接收 的 消息 会 以 特定 的 顺序 到 达 。 

在 形式 上 ， 我 们 将 竞争 定义 为 有 这 样 两 个 消息 序列 图 的 事件 p, q: 

° 和 4& 出 现在 同一 个 进程 队列 中 ; 

。 轧 出 现在 g 之 前 ; 

， ÆR (S, <) 中 不 存在 从 pp 到 4g 的 路 径 。 

在 消息 序列 图 中 检测 竞争 情况 是 很 简单 的 。 我 们 唯一 需要 计算 的 是 消息 序列 图 中 所 有 事件 
”关于 < "关系 的 传递 闭 包 。 对 于 事件 p，gE S, RAER (S, p) 中 存在 从 p 到 g 的 路 径 时 ， 有 

p<" gq。 然 后 我 们 只 需 比 较 在 同一 进程 队列 中 的 两 个 事件 的 传递 闭 包 关系 [8]。 


练习 11.2.1 在 图 11.1 中 进程 P2 的 两 个 接收 事件 是 否 存在 竞争 ?请 给 出 解释 。 


MSC 标准 允许 通过 使 用 高 级 消息 序列 图 (High- level Message Sequence Chart, HMSC) 合 

并 多 个 简单 消息 序列 图 。 如 图 11. 4 所 示 ， 图 中 的 每 个 子 图 都 是 一 个 单独 的 MSC (或 者 它 本 身 是 

一 个 HMSC) 。 其 中 每 条 路 径 从 指定 的 初始 状态 出 发 的 ， 通 过 可 见 的 方式 连接 到 对 应 的 MSC。 这 

Rv, MSCS: 与 MSCS: MEA, S 中 的 消息 将 会 出 现在 S: 中 的 消息 之 后 。 有 了 这 种 功 

能 ， 我 们 可 以 描述 一 个 很 大 的 ， 甚 至 是 无 限 大 的 场景 集合 ， 每 个 场景 可 能 是 有 限 的 或 无 限 的 〈 由 
于 图 中 的 循环 结构 ) 。 我 们 可 以 通过 使 用 HMSC 来 建立 、 调 试 、 组 织 和 维护 MSC 系统 。 

Pl , P2 , B 





Connect 























图 11.3 图 11.1 中 各 事件 的 偏 序 表示 11.4 高 级 消息 序列 图 
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可 以 增加 一 种 能 力 ， 以 用 于 从 HMSC 的 设计 中 搜索 匹配 给 定 规约 的 路 径 [87，103]。 这 个 
规约 是 用 相同 的 符号 表示 的 ， 它 可 以 是 MSC 或 是 HMSC。 然 而 ，MSC (或 HMSO 的 规约 本 身 
是 一 个 模板 ， 表 示 了 一 组 事件 和 它们 之 间 的 顺序 。 一 个 与 规约 相 匹配 的 场景 至 少 包 含 了 模板 中 
的 所 有 事件 ， 且 保留 了 事件 之 间 的 顺序 关系 。 设 计 中 匹配 的 路 径 可 以 比 模 板 拥 有 更 多 的 事件 。 
(因为 已 证 明 两 个 HMSC 相交 的 部 分 不 可 判定 [103]， 所 以 将 HMSC 转换 为 模板 是 十 分 必要 
BJ.) 作为 搜索 的 结果 ， 算 法 可 以 给 出 能 够 匹配 的 场景 ， 或 者 给 出 在 被 检验 图 中 找 不 到 可 匹配 的 
场景 的 报告 。 

使 用 模板 匹配 允许 我 们 将 这 类 搜索 机 械 化 。 可 以 用 它 来 确定 在 设计 中 消息 序列 图 是 否 存 在 
不 需要 的 属性 ;或 者 用 来 确定 某 一 个 需要 的 功能 是 已 经 被 加 人 到 现 有 设计 中 了 ， 还 是 有 待 添加 。 

图 11. 5 中 给 出 了 消息 序列 图 的 一 个 模板 和 匹配 场景 的 例子 。 在 两 个 图 中 ， 都 有 三 个 进程 
Pl、P;、P，。 匹 配 的 结果 是 s; 对 应 os r, 对 应 o. s 对 应 on ri 对 应 os. 


[P] [5] Bo LP] [5] [5] 




















r s Pi a 
P2 0 
s n 93 Ps 
wau 2 Ps 
模板 
: MSC 场 景 


图 11.5 覃 板 和 匹配 的 MSC 场景 


11.3 可 视 化 流程 图 和 状态 机 

将 一 个 程序 的 运行 过 程 用 自动 机 或 流程 图 来 表示 ， 演 示 从 一 个 状态 或 节点 到 另 一 个 的 转换 
过 程 ， 是 一 种 非常 有 效 的 方式 。 我 们 可 以 通过 高 亮 当前 节点 〈 改 变节 点 的 颜色 或 色调 ) 来 仿真 执 
行 过 程 。 当 执行 一 个 转换 时 ， 当 前 节点 的 后 继 节点 会 替代 前 者 成 为 高 亮 显 示 的 节点 。 

当然 ， 由 于 状态 的 数目 可 能 会 非常 大 或 者 是 无 限 的 《尽管 我 们 可 能 只 用 它 来 显示 状态 空间 
中 的 一 部 分 状态 )， 因 此 显示 整个 状态 空间 通常 是 不 切实 际 的 。 一 种 更 实际 的 做 法 是 用 组 合 控 
制 点 的 方式 来 组 成 表示 系统 的 图 。 每 个 控制 点 对 应 程序 计数 器 中 一 个 单独 的 值 (即使 这 样 的 值 
在 程序 的 代码 中 是 隐 式 表示 的 )。 对 于 并 发 系统 ， 我 们 可 以 在 不 同 的 窗口 分 开 显示 每 个 进程 。 
在 这 种 情况 下 ， 程 序 中 的 当前 执行 位 置 是 几 个 进程 中 程序 计数 器 的 组 合 。 因 此 ， 当 仿真 执行 过 
程 时 ， 每 一 个 活动 进程 中 都 会 存在 一 个 高 亮 的 节点 。 每 个 转换 被 一 个 或 多 个 进程 执行 。 在 每 一 
个 参与 当前 转换 的 进程 中 ， 当 前 每 个 节点 的 后 继 节点 都 会 相应 地 替代 当前 节点 成 为 被 着 重 高 亮 
的 节点 。 

可 视 化 技术 可 能 未 能 提供 关于 当前 状态 的 信息 ， 而 是 只 给 出 了 有 关 当 前 程序 计数 器 的 信息 。 
我 们 可 以 提供 一 些 额外 的 信息 ， 例 如 变量 的 值 ， 或 者 被 发 送 和 接收 的 消息 ， 通 过 不 同 的 窗口 显示 
出 来 。 这 种 可 视 化 机 制 可 用 于 以 下 多 种 用 途 ， 

” 仿真 系统 不 同 的 执行 过 程 。 应 特别 注意 在 仿真 过 程 中 作出 的 非 确定 性 选择 。 这 些 选 择 可 
以 通过 使 用 固定 的 准则 〈 如 总 是 在 列 出 的 所 有 选项 中 选 第 一 个 ) 由 仿真 工具 来 确定 ， 通 
过 伪 随 机 算法 确定 ， 或 是 委托 给 用 户 来 确定 。 有 时， 工具 允许 用 户 全 局 性 地 针对 整个 系 . 
统 或 针对 每 个 控制 点 来 编写 处 理 非 确定 性 选择 的 程序 。 
显示 模型 检验 或 测试 中 找到 的 反例 。 反 鲍 是 在 验证 或 测试 过 程 中 找到 的 ， 是 可 以 使 用 文 
本 表示 的 一 组 状态 和 它们 之 间 转 换 的 序列 。 我 们 可 以 使 用 可 视 化 方法 显示 它们 的 执行 
过 程 。 
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选择 用 于 测试 的 执行 路 径 。 许 多 测试 覆盖 准则 是 基于 在 测试 代码 中 选择 出 程序 执行 路 
径 。 使 用 可 视 化 技术 ， 我 们 可 以 允许 用 户 以 交互 方式 选择 执行 路 径 。 

有 许多 不 同 的 方式 可 以 构建 一 个 系统 的 可 视 化 表示 。 例 如 我 们 可 以 使 用 编译 器 将 系统 的 代 
码 翻译 成 图 [60]。 目 前 已 有 一 些 工具 允许 用 户 在 系统 建 模 过 程 中 或 作为 系统 设计 的 一 部 分 生成 
并 修改 图 [12]。 图 中 的 节点 或 边 可 以 包含 附加 信息 ， 这 些 信 息 可 以 是 给 变量 赋值 的 实际 代码 、 
判定 谓词 或 发 送 /接收 的 消息 。 在 系统 设计 、 测 试 和 验证 的 许多 阶段 中 我 们 都 可 以 使 用 可 视 化 表 
示 。 它 们 可 能 会 成 为 在 开发 过 程 中 的 一 份 有 效 的 文档 。 

系统 的 设计 可 以 从 使 用 一 些 可 视 化 的 工具 开始 。 有些 工具 可 以 自动 生成 可 执行 代码 。 虽 然 
可 能 无 法 直接 使 用 这 些 代 码 ， 但 是 我 们 可 以 通过 修改 它 来 开始 对 目标 系统 的 开发 ， 而 不 是 从 零 
开始 。 

图 的 显示 是 一 个 困难 的 问题 ， 并 且 这 本 身 也 是 一 个 有 趣 的 研究 领域 。 例 如 ， 我 们 希望 最 小 化 
边 交 叉 的 情况 。 现 在 有 一 些 专 门 程序 ， 用 于 以 合理 的 方式 在 图 中 放置 不 同 对 象 ， 如 DOT [50], 
其 通常 作为 UNIX 系统 的 一 个 组 成 部 分 。 一 些 工具 也 可 能 允许 用 户 通过 鼠标 ， 将 节点 从 当前 位 
置 拖 跨 到 窗口 的 男 一 个 位 置 。 在 这 种 情况 下 ， 连 接 到 该 节点 的 边 必须 也 连接 到 新 的 位 置 上 去 。 近 
年 来 ， 我 们 已 经 见 到 越 来 越 多 的 编程 语言 和 开发 包 ， 如 Java 和 TCL/TK [110]， 可 以 通过 简单 
的 拓展 来 支持 这 个 功能 。OBJECTTIME [127] 和 OBJECTBENCH [128] 这 两 个 工具 就 是 基于 
这 种 可 神化 表示 机 制 的 。 旨 在 标准 化 和 统一 设计 方法 的 UML 方法 [46] 使 用 了 状态 空间 图 、 消 
息 序列 图 等 各 种 图 表 来 表示 程序 的 执行 过 程 。 

由 贝尔 实验 室 开发 的 PET 系统 [60]， 可 以 分 析 使 用 带 进 程 间 通信 的 并 发 Pascal 语言 所 编写 
的 程序 进程 ， 并 为 每 一 个 进程 生成 图 。 图 中 的 边 和 节点 通过 调用 DOT 程序 确定 位 置 。 该 系统 允 
许 用 户 选择 并 发 程序 中 进程 的 交错 运行 方式 ， 通 过 使 用 9.4 节 中 介绍 过 的 算法 计算 路 径 条 件 ， 并 
显示 出 来 。 








mutex 0 





mutex 1 


图 11.6 流程 图 的 可 视 化 表示 
图 11. 6 中 的 流程 图 描述 了 mutez0 进程 对 于 解决 互 斥 访 问 问题 的 如 下 尝试 ， 


mutex0:: while true da mutezl:: while true do 
begin begin 
while turn=1 do while turn=0 do 
begin begin 


x0 :一 0 xl t=z1 
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end; end; 
=1; 
turn :一 二 turn *=0 
end end 
不 允许 两 个 进程 同时 访问 标号 为 3 的 节点 ， 即 对 y 进行 赋值 的 位 置 。 通 过 引 人 一 个 turn 变 
量 ， 其 值 依据 进程 进入 临界 区 的 优先 级 为 0 或 1 来 解决 此 问题 。 在 一 个 进程 进入 临界 区 时 ， 另 一 
个 进程 一 直 等 待 ， 在 标号 为 1、2 的 两 个 状态 间 转 换 。 但 是 有 意思 的 是 对 于 下 面 的 交错 运行 路 径 ， 


(mutexO : 0), (mutexl :.0), < mutex0 : 5> , < mutexl : 5> , < mutex1 : 2>, 
< mutex0 : 2> , [mutex0 : 3], [mutex1 : 3]. 


在 这 种 运行 路 径 中 ，PET 工具 返回 了 条 件 turn 天 0 人 turn 天 1。 这 意味 着 当 比 如 说 turn 是 2 的 时 
候 ， 两 个 进程 同时 都 进入 了 临界 区 。 这 个 错误 说 明了 每 个 进程 应 该 在 不 该 自己 进入 临界 区 时 ， 而 
不 是 在 对 方 不 该 进入 临界 区 时 处 于 忙 等 待 状态 。 当 然 ， 如 果 我 们 能 保证 turn 变量 是 布尔 类 型 ， 
且 不 存在 除 此 两 个 进程 以 外 的 其 他 进程 ， 那 么 就 可 能 不 会 出 现 问题 。 


11.4 层次 状态 图 

对 于 典型 的 软件 ， 其 规模 大 、 结 构 复 杂 ， 限 制 了 简单 状态 图 在 表示 实际 系统 时 的 实用 性 。 简 
` 单 状 态 图 经 常 体现 出 如 下 不 足 之 处 : 

° 状态 图 是 扁平 化 (flat) 的 。 因 此 不 能 自然 地 刻画 系统 的 层次 化 结构 。 

。 状态 图 是 对 于 被 建 模 系统 的 全 局 性 视图 。 所 以 ， 系 统 的 并 发 组 合 需要 通过 各 状态 空间 分 

量 的 乘积 来 表示 (参见 4.9 节 ) 。 困 此 ， 大 部 分 的 并 发 结构 被 丢掉 了 。 

° 由 于 扁平 化 结构 和 全 局 性 的 视图 ， 其 状态 空间 往往 是 巨大 的 。 虽 然 状态 空间 爆炸 问题 在 
软件 验证 中 已 有 研究 ， 但 是 对 于 可 视 化 来 说 这 还 是 一 个 很 大 的 问题 ， 完全 理解 一 个 由 几 
十 个 节点 组 成 的 图 是 相当 困难 的 。 
简单 的 图 结构 可 能 带 来 不 必要 的 完 余 。 举 
个 例子 ， 考 虑 一 个 系统 可 能 在 任何 状态 下 
引发 中 断 ， 导 致 中断 程 序 执行 

使 用 层次 状态 图 (hierarchical state graph) 
是 解决 上 述 问 题 的 一 个 很 好 的 办 法 。 下 面 我 们 将 
展示 一 种 特定 的 层次 状态 图 符号 STATECHAR- 
TS [61]. STATECHARTS 人 允许 将 若干 状态 (此 
时 应 叫做 子 状 态 》 组 合成 超 状 态 (supers tate), 
如 图 11.7 所 示 。 同 时 ， 它 还 具有 以 下 特性 。 图 11.7 一 个 简单 的 层次 状态 图 


11.4.1 层次 化 状态 


一 个 状态 可 以 是 一 个 子 图 。 状 态 * 的 子 图 中 包含 的 状态 是 s 的 子 状态 ， 那 么 RETR PR 
态 的 超 状态 。 在 图 11. 7 中 ， 状 态 C 包含 一 个 由 状态 A MB 组 成 的 子 图 。 进 入 状态 s 的 方式 可 以 
是 直接 由 边 指向 其 中 的 某 一 个 子 状态 ， 如 图 11.7 中 DD 指向 B 的 边 。 也 可 以 是 直接 指向 超 状态 
但 在 这 种 情况 下 ， 子 图 中 必须 存在 一 个 默认 的 初始 状态 。 其 表示 方法 为 一 个 实心 的 圆 形 小 点 上 
存在 一 条 出 边 ， 并 连接 到 初始 状态 。 如 在 图 11.7 中 ， 超 状态 C 的 默认 初始 状态 是 A。 同 理 可 知 ， 
状态 五 的 后 继 节点 是 子 状 态 4 。 从 外 层 来 看 ， 节 点 ELMORE. 
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11.4.2 统一 的 出 口 和 入 口 


超 状态 之 间 的 转换 替代 了 它们 内 部 的 子 状态 闻 的 转换 。 在 图 11. 8 中 ， 我 们 可 以 通过 将 子 状 
态 A 或 B 指向 刀 ， 而 离开 超 状 态 C。 这 种 特性 特别 适用 于 指定 中 断 。 顶 端的 黑色 圆 点 表明 超 状 态 
C 是 起 始 超 状 态 。 另 一 个 黑色 圆 点 出 现在 C 内 部 ， 指 向 子 状态 A, JE C 的 软 认 人 口 节 点 。 因 此 ， 
当 离开 也,， 进 入 C 时， 我 们 会 进入 子 状态 A. 


11. 4.3 并 发 


一 个 超 状态 可 以 包含 若干 个 并 发 组 件 。 当 系统 的 超 状态 s 包含 并 发 组 件 时 ， 它 在 每 个 组 件 中 
一 定 都 处 于 某 一 个 子 状态 。 不 同 的 并 发 组 件 用 虚线 划分 。 在 图 11.9 中 ， 超 状态 SHAT RTH 
发 组 件 C 和 下 。 组 件 C 包 含 一 个 带 有 两 个 状态 A MB 的 子 图 ， 同样 组 件 下 也 包含 一 个 带 有 两 个 
RAD AME WTR. Aik, SARS 中 时 ,我 们 必然 处 于 AD、AE、BD 或 BE 这 些 经 过 组 合 
的 状态 中 。 并 发 组 件 没有 必要 一 定 用 于 表示 实际 的 并 发 性 ; 它 也 可 以 用 于 描述 被 分 割 为 若干 正 
交 组 件 的 子 系 统 ， 其 中 每 个 状态 是 来 自 不 同 组 件 的 本 地 状态 的 组 合 。 





























图 11.8 统一 的 出 口 图 11.9 在 一 个 状态 中 描述 并 发 性 


11.4.4 输入 和 输出 


STATECHARTS 特别 适用 于 描述 反应 式 系统 。 因 此 ， 我 们 需要 包含 描述 输入 输出 的 符号 。 
通过 箭头 来 描述 的 每 个 转换 ， 可 以 包含 一 个 由 系统 负责 接收 的 带 变量 名 的 输入 事件 ， 和 一 个 由 
系统 负责 执行 的 输出 动作 。 它 们 之 间 用 “/” 符 号 分 开 。 如 果 没 有 指定 输出 动作 ， 则 没有 必要 和 
含 “/”。 在 一 个 事件 中 可 以 包含 多 个 输出 动作 ， 通 过 “;” 将 它们 分 开 。 另 外， 一 个 转换 可 以 包 
含 一 个 转换 条 件 。 它 由 “/” 号 起 始 ， 并 包含 在 方 插 号 (“ [” 和 “]”) 中 。 转 换 执 行 前 ， 必 须 完 
成 绑 定 的 〈 可 选 ) 输入 事件 ， 并 能 够 满足 (可 选 ) 转换 条 件 。 转 换 执行 时 ， 乡 定 在 转换 中 的 (可 
选 ) 动作 将 会 被 执行 。 

一 个 被 标记 的 转换 当 标记 它 的 〈 可 选 ) 动作 出 现 、( 可 选 ) 条 件 满足 时 ， 将 会 执行 。 如 果 某 
个 动作 标记 在 了 不 同 的 并 发 组 件 中 的 多 个 转换 上 ， 那 么 这 些 转 换 将 会 以 同步 的 方式 同时 执行 。 
如 果菜 个 动作 只 标记 在 一 个 并 发 组 件 中 ， 那 么 这 个 动作 将 会 独立 (异步 ) 于 其 他 并 发 组 件 执行 。 
因此 ， 在 图 11.9, RA A BIB. RA CHD 的 转换 是 同时 执行 的 ， 因 为 两 个 事件 都 被 输入 事 
件 G 所 标记 。 也 就 是 说 ， 如 果 我 们 处 于 子 状态 AA. D, 将 同时 转换 到 子 状态 B、EE。 另 一 方面 ， 
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MBSA 的 转换 被 标记 为 瑟 ， 而 从 EE 到 DD 的 转换 被 标记 为 I。 因 此 ， 如 果 我 们 同时 处 于 子 状 态 
了 和 五 ， 那 么 我 们 可 以 从 状态 妃 转 换 到 4 ， 而 同时 保持 在 状态 EP, REM E RRB D 并 保持 
B 状态 。 这 表明 一 个 组 件 可 以 在 另 一 个 组 件 不 变 时 执行 本 组 件 内 的 状态 转换 。 

一 个 条 件 可 以 关联 到 其 他 并 发 组 件 中 的 最 新 转换 ， 即 en( 了 T) 表 示 其 他 某 个 组 件 中 的 最 新 转换 
ERNAS T. XM, el DNR REETAN E E TRET., 最后，in( 了 T) 表 示 在 另 一 个 
组 件 中 的 状态 是 T, 

我 们 可 以 在 不 同 组 件 中 重用 名 字 。 为 了 消除 名 字 的 歧义 ， 我 们 可 以 将 子 状态 与 超 状 态 用 点 
号 分 隔 。 例 如 ， 在 图 11.9 中 ,在 并 发 组 件 S 中 状态 A 是 C 的 子 状 态 ， 那么 可 以 表示 为 C. A 
或 S.C.A。 


11.5 程序 文本 的 可 视 化 


虽然 使 用 流程 图 来 可 视 化 地 表示 程序 很 具有 吸引 力 ， 但 是 它 也 有 如 下 一 些 限制 ,现今 的 程 
序 通常 规模 较 大 ， 有 大 量 的 代码 和 上 百 万 个 状态 。 目 前 , 一 个 很 有 趣 的 方法 是 使 用 颜色 来 使 程序 
代码 可 视 化 [13]。 不 同 的 色调 表示 不 同等 级 的 代码 ， 比 如 用 黄色 表示 低 等 级 值 ， 红 色 表 示 中 等 
级 ,棕色 表 示 高 等 级 值 等 等 。 更 深 的 颜色 表示 该 代码 块 比 其 他 代码 块 : 

。 改变 得 更 频繁 ; 

。 被 更 多 的 测试 用 例 覆 盖 ; 

` 在 开发 过 程 中 容易 出 现 更 多 的 错误 。 

这 种 表示 方法 可 以 更 好 地 用 来 发 现 哪些 代码 更 需要 应 用 形式 化 方法 证 明 。 例 如 ， 我 们 可 能 
需要 更 重视 那些 经 常 被 改变 的 代码 ， 或 者 更 希望 为 那些 在 现 有 测试 用 例 中 覆盖 较 少 的 代码 来 产 
生 新 的 测试 用 例 。 有 趣 的 是 ， 我 们 可 能 更 希望 检查 那些 曾经 被 检测 出 存在 错误 的 代码 ， 因 为 实验 
表明 在 这 些 地 方 有 更 高 的 概率 找到 更 多 的 错误 。 


11.6 Petri 网 


Petri 网 [118] 是 针对 有 限 状 态 程序 的 一 种 很 具 吸 引力 的 可 视 化 表示 方法 。Petri 网 包括 通 
过 “圆圈 ”表示 的 有 限 个 库 所 (place) P, A 
M “WR” Char) 来 表示 的 变迁 (transition) ° " O- 
T。 边 EC (PX T) U ( TX P) B] 3 E 8 PE B #ll 
变迁 ， 如 图 11.10 所 示 。Petri 网 包含 有 限 个 
库 所 的 集合 和 有 限 个 变迁 的 集合 。 当 有 一 条 
边 连接 库 所 到 变迁 rc 时 ,pp 被 称 做 是 r 的 输 ooo A r 
入 库 所 。 当 有 一 条 边 连接 变迁 = 到 库 所 如 时 ，(@) SL SO 
被 称 做 是 + 的 输出 库 所 。 变 迁 + 的 输入 库 所 
的 集合 被 标记 为 <， 输出 库 所 的 集合 被 标记 为 
tr"。 库 所 可 以 用 令 牌 (token〉 标记 或 者 不 标记 。 当 一 个 变迁 的 所 有 输入 库 所 都 被 标记 且 它 的 输 
出 库 所 都 没有 被 标记 时 ， 这 个 变迁 将 被 多 许 (enabled)。 变迁 被 允许 后 ， 变 迁 将 被 激活 (执行 )。 
这 种 情况 下 ， 输 入 库 所 上 的 令 牌 被 消耗 ， 同 时 为 输出 库 所 产生 令 牌 。 在 本 节 中 ， 我 们 将 只 处 理 基 
本 网 络 系 统 [140]， 它 在 每 个 库 所 的 令 牌 数量 不 多 于 一 个 
Petri 网 的 《全 局 ) 状态 G E P 中 节点 的 一 个 子 集 。 为 了 表明 Petri 网 在 某 个 全 局 状态 G P, 
G 中 的 每 个 库 所 都 用 小 的 实心 圆圈 (表示 令 牌 ) 标记 ， WE G 中 的 库 所 则 不 被 标记 。 其 中 一 个 状 
态 被 区 别 标 记 以 作为 初始 状态 。Petri 网 的 一 一 次 执行 是 从 初始 状态 开始 的 最 大 状态 序列 。 它 通过 
一 次 次 的 变迁 激活 ， 获得 这 个 状态 序列 里 面 的 每 个 连续 对 。 因 为 初始 状态 是 独一无二 的 ， 又 加 上 





P. a, Ps 








图 11. 10 Petri 网 
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变迁 促使 了 序列 从 初始 状态 的 改变 ， 所 以 我 们 用 变迁 序列 来 代表 Petri 网 的 执行 过 程 。 
举 个 例子 。 如 图 11. 10 所 示 ， ae 个 Petri 网 ， 它 包含 状态 pos o Pas ME: 
= {a sao sas + B. ,Ba > Ps} 
Rilis RAI NLORE h'a RIOR OI. 初始 状态 ， 已 在 图 中 标 出 ， 包 含 准确 的 
库 所 位 置 G= (bor bo Pr} 
结合 4.4 节 中 的 内 容 ， 我们 可 以 用 二 值 变量 来 表示 库 所 。 一 个 带 有 令 牌 的 库 所 可 以 表示 为 对 
应 此 库 所 的 变量 是 true, BWE .frse。 定 义 每 个 变迁 rH: 
m = A bA A 
在 其 他 变量 不 改变 时 ， 变 迁 函 数 f. 将 = 的 变量 置 为 false, $ r 的 变量 置 为 true, 
为 了 将 Petri 网 表示 为 一 个 变迁 系统 ,我 们 将 使 用 变量 { 记 |0 委 ;i 委 8}。 初始 状态 是 {po， 
名， 久 } 。 每 个 操作 的 开启 条 件 和 变迁 函数 如 下 
api A 7 pa —~ (pi + bs) t= (false , true) 
a2:Po A pbs Aps — (h sP: sps) t= (alse, false ,true) 
a3: Po A bs A T pı —— (Pos bs pr) += Ctrue, false , true) 
B :b A py —— (b; pi) := (false true) 
Bibo A Pe A 7 Bs —— (bs bi bs) := (false, false ,true) 
B i Po A bs A T pa —— (po, Ps ° Pa) t= Ctrue, false ,true) 


这 个 网 络 的 执行 过 程 是 {po po b) S (po p, p) E lps p) Ë. (pop， 


Ps? 一 ~ {Por Pay Pa) Z, {ps, Pa) = {Por Prs pase . 

在 这 个 例子 中 ， 库 所 p 是 一 个 信号 量 [37], BE a AB 表示 获取 信号 量 ，w 和 ñ HAN 
放 信 和 号 量 。 

如 图 11. 11 所 示 为 4. 6 节 中 临时 互 斥 协议 的 Petri 网 模型 。 被 标记 的 库 所 表示 了 系统 的 初始 
状态 。 使 用 Petri 网 的 表示 方式 可 以 很 方便 地 将 协议 中 的 属性 可 视 化 。 安 全 属性 可 被 定义 为 : 无 
法 从 初始 状态 到 达 “Critical section] 和 Critical section2 都 有 令 牌 ”的 状态 。 

我 们 可 以 根据 Petri 网 的 激活 规则 ， 通 过 Noncritical Noncritical 
移动 令 牌 来 演示 这 个 算法 死 锁 的 可 能 性 。 由 section] 
于 死 锁 将 在 没有 可 以 激活 的 变迁 时 发 生 。 那 
么 ， 当 被 标记 为 cl :一 0 的 变迁 被 激活 时 ， 去 
掉 Noncritical section] 和 cl=1 库 所 的 令 牌 ， 

并 在 Try enterl PI c1—0 库 所 加 入 令 牌 。 与 之 | ener! 
对 称 ， 当 被 标记 为 c2 := 一 0 的 变迁 被 激活 时 ， 
去 掉 Noncritical section2 和 c2=1 库 所 的 令 | 21? 
牌 ， 并 在 Try enter2 和 c2=0 库 所 加 入 令 牌 。 . 
至 此 ， 此 Pei 网 中 已 经 不 存在 可 以 激活 的 变 “|Coieni CO 
迁 了 。 需 要 注意 的 是 ， 因 为 2=1 库 所 没有 
令 牌 ， 所 以 标记 为 c2=1 的 变迁 不 能 执行 
同样 ， 因 为 二 1 库 所 没有 令 牌 ， 所 以 标记 
为 c1=1 的 变迁 也 不 能 执行 。 图 11.11 临时 互 斥 算法 的 Petri 网 模型 


练习 11. 6. 1 建立 4. 6 节 中 的 Dekker 互 斥 算 法 的 Petri 网 模型 
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11.7 可 视 化 工具 

PEP TË. [58] (Programming Environment based on Petri Nets， 基 于 Petri 网 的 编程 环境 》 
可 以 从 奥 尔 登 堡 (Oldenburg) 大 学 的 以 下 链接 获得 ， 

http://theoretica. informatik. uni- oldenburg. de/ ~ pep/ HomePage. html 

Peri 了 网 有 不 同 的 版 本 ， 分 别 面向 不 同系 统 的 建 模 与 验证 。 一 些 变 体 包括 : 

。 人 允许 一 个 库 所 包含 多 个 令 牌 。 

。 允许 单个 变迁 传递 多 个 令 牌 。 

° 添加 抑制 弧 (inhibitor arc)， 即 当 输 入 库 所 用 抽 制 红 连 接 到 一 个 变迁 时 ， 变 迁 只 能 在 标 

记 为 空 时 被 激活 。 

。 为 变迁 添加 非 量 化 的 一 阶 条 件 。 

。 用 不 同 颜色 区 分 令 牌 。 

针对 不 同 实 际 版 本 的 Petri 网 模型 有 很 多 验证 算法 。 在 下 一 节 中 包含 了 一 些 综述 这 些 算法 的 
推荐 书籍 。 


11.8 扩展 阅读 
一 些 ITU 标准 ， 如 SDL 和 MSC， 可 以 在 ISO 文档 中 找到 ， 比 如 ， 
ITU-T Recommendation Z, 120, Message Sequence Chart (MSC), March 1993. 
以 下 这 本 书 描述 了 STATECHARTS 方法: 


D. Harel, M. Politi, Modeling Reactive Systems with Statecharts, McGraw- 
Hill, 1998. 


Petri 网 的 有 关 书 籍 如 下 ; 


K. Jensen, Coloured Petri Nets : Basic Concepts, Analysis Methods and 
Practical Use, Springer-Verlag, 1995. 

W. Reisig, Elements of Distributed Algorithms: Modeling and Analysis with 
Petri Nets, Springer-Verlag, 1998. - 

W. Reisig, G. Rozenberg, eds. Lectures on Petri Nets I: Basic Models, Lec- 
ture Notes in Computer Science, Volume 1941, Springer-Verlag, 1998. 


Booch, Jacobson 和 Rumbaugh 编制 的 统一 建 模 语言 CUML) 是 当前 最 流行 的 可 视 化 建 模 框 
架 之 一 。 该 方向 的 书籍 有 : 


I. Jacobson, G. Booch, J. Rumbaugh, Unified Software Development Process, 
Addison-Wesley, 1999. 

J. Rumbaugh, I. Jacobson, G. Booch, The Unified Modeling Language, Ref- ` 
erence Manual, Addison-Wesley, 1998. 

G. Booch, I. Jacobson, J. Rumbaugh, The Unified Modeling Language User 
Guide, Addison-Wesley, 1998. 
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软件 系统 已 渐渐 成 为 我 们 日 常生 活 不 可 分 割 的 一 部 分 ， 我 们 现在 每 天 很 自然 地 接触 这 些 软 
件 系统 。 我 们 经 常 在 万 维 网 上 购物 ， 通 过 自动 取款 机 取现 金 。 我 们 几乎 不 再 使 用 现金 ， 当 我 们 需 
要 买 东西 时 ， 这 笔 钱 通 常 以 数据 通信 方式 在 分 布 式 计算 机 系统 之 间 传 输 。 计算机 控制 交通 信和 号 
灯 系 统 、 飞 机 空中 导航 系统 以 及 非常 复杂 的 医疗 设备 。 我 们 相信 这 些 系统 能 正确 工作 。 计 算 机 打 
印 输出 常用 做 支持 讨论 或 争议 中 的 一 些 论点 的 证 据 。 同 时 我 们 也 期 望 关键 系统 的 故障 率 远 远 低 
于 人 工 操作 的 故障 率 。 

现 阶 段 ， 软 件 开发 已 逐步 走向 成 熟 。 很 明显 ， 尽 管 计算 机 硬件 不 容易 出 错 了 (有 时 还 有 可 
能 )， 但 程序 员 极 有 可 能 在 其 代码 中 引入 错误 。 可 以 给 出 关于 每 行 代码 错误 率 的 统计 数据 。 显 然 ， 
将 刚 写 好 的 代码 安装 到 正在 运行 的 系统 中 的 做 法 不 合适 。 这 可 能 会 导致 不 愉快 的 甚至 是 灾难 性 
的 后 果 。 实 际 上 ， 由 错误 软件 造成 严重 破坏 的 事故 数目 在 不 断 增加 。 

形式 化 方法 用 于 增强 系统 质量 ， 该 方法 尝试 检测 并 排除 软件 中 的 错误 。 软 件 开发 过 程 常常 
伴随 着 广泛 的 软件 测试 。 测 试 处 于 形式 化 和 非 形式 化 方法 之 间 。 测 试 可 以 通过 在 软件 上 简单 地 
运行 任意 实验 来 实现 。 它 也 可 以 使 用 基于 数学 分 析 的 工具 与 技术 来 实现 。 这 样 ， 发 现代 码 错 误 的 
几率 也 大 大 提高 了 。 

演绎 验证 方法 是 利用 数理 逻辑 来 证 明 软 件 的 详尽 方法 。 模 型 检验 利用 算法 自动 验证 有 限 状 
态 系统 ， 同 时 寻找 威胁 其 正确 性 的 反例 。 

绝对 信任 计算 机 系统 是 不 可 能 的 。 形 式 化 方法 可 以 帮助 我 们 增强 对 软件 的 信任 度 。 发 现代 
码 中 的 错误 是 一 项 很 难 的 工作 。 这 是 一 个 被 数学 家 和 计算 机 科学 家 所 证 明了 的 通常 情况 下 无 法 
徇 底 解 决 的 问题 。 这 样 ， 不 同 的 技术 要 考虑 适当 的 折 中 方案 也 就 不 足 为 奇 了 。 

测试 技术 是 基于 对 代码 执行 过 程 进行 抽样 检查 而 实现 的 。 即 使 经 过 非常 正式 的 测试 ， 代 码 
仍 可 能 在 某 些 交互 行为 中 存在 一 些 未 检测 到 的 错误 。 然 而 测试 技术 是 一 个 非常 高 效 的 方法 ， 能 
够 有 效 地 发 现 程序 中 的 绝 大 部 分 错误 。 模 型 检验 被 用 来 全 面 地 检验 代码 是 否 满 足 某 些 给 定 的 属 
性 。 这 个 过 程 基本 上 是 自动 完成 的 ， 当 正确 性 失效 时 会 产生 一 个 反例 。 但 模型 检验 的 使 用 仅 限于 
有 限 状 态 系 统 ， 因 而 无 法 对 具有 复杂 数据 结构 的 算法 进行 验证 。 而 且 ， 状 态 空间 爆炸 问题 限制 了 
能 承受 自动 验证 的 并 发 组 件 的 数量 。 演绎 验证 可 以 处 理 无 限 状态 系统 、 各 种 各 样 的 数据 结构 、 有 
任意 进程 数目 的 系统 。 但 整个 验证 过 程 基本 上 是 手动 的 ， 而 且 速度 相当 慢 。 

形式 化 方法 还 有 着 其 用 户 需 要 认识 到 的 其 他 限制 。 即 便 完 美的 验证 也 会 因 人 为 因素 而 引入 
错误 。 所 以 ， 我 们 利用 模型 检验 程序 或 者 自动 定理 证 明 器 来 增强 验证 过 程 的 可 车 性。 尽管 如 此 ， 
还 是 会 常常 在 模型 检验 以 及 演绎 验证 工具 中 发 现 一 些 错误 。 此 外 ， 形 式 化 方法 并 不 直接 对 软件 
进行 验证 ， 而 是 对 软件 的 抽象 模型 进行 验证 。 建 模 过 程 常常 是 一 个 手动 过 程 ， 易 造成 模型 和 实际 
系统 之 间 的 偏差 。 即 使 建 模 和 验证 都 完全 正确 ， 不 完备 的 规约 仍 可 能 会 忽略 软件 的 一 些 重 要 
方面 。 

了 解 不 同 技术 、 它 们 的 权衡 和 局 限 性 后 ， 我 们 便 能 够 针对 具体 项 目 选择 合适 的 形式 化 方法 。 
单个 技术 往往 不 能 满足 项 目的 要 求 ， 最 优 解决 方案 往往 是 组 合 使 用 这 几 种 技术 。 举 例 来 说 ， 对 于 
一 个 银行 系统 ， 我 们 使 用 测试 技术 对 整个 系统 进行 测试 ， 使 用 模型 检验 技术 对 其 中 用 到 的 通信 
协议 进行 检验 ， 使 用 演绎 验证 技术 对 处 理 货币 交易 的 系统 关键 内 核 进 行 证 明 

最 近 的 研究 主要 集中 在 如 何 克 服 现 有 方法 的 局 限 性 上 。 根 据 对 被 验证 系统 特性 的 大 量 观察 ， 
我 们 将 启发 式 方法 引入 到 自动 验证 中 。 在 如 何 组 合演 绎 和 自动 验证 技术 方面 正在 做 大 量 的 探索 。 
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例如 ， 抽 象 技术 用 来 对 软件 建 模 ， 我 们 可 利用 演绎 验证 来 证 明 抽象 的 正确 性 。 随 后 ， 可 以 对 这 样 
的 模型 进行 模型 检验 ， 并 且 使 用 演绎 验证 来 支持 模型 检验 的 结果 可 从 抽象 模型 推广 到 实际 系统 
的 结论 。 

随 着 形式 化 方法 日 趋 成 熟 ， 大 量 软 件 可 靠 性 工具 逐一 面世 。 我 们 现在 意识 到 用 户 界面 是 这 
些 工具 的 一 个 关键 因素 。 形 式 化 方法 工具 需要 接受 用 户 的 表示 方法 ， 而 不 是 给 用 户 强 加 一 个 新 
的 表示 方法 。 显 然 ， 将 新 的 形式 化 方法 引 人 到 软件 开发 生命 周期 中 起 初 看 上 去 可 能 会 增加 软件 
开发 人 员 的 工作 量 。 因 此 ， 软 件 可 靠 性 工具 需 通过 易 用 的 图 形 化 界面 吸引 用 户 ， 并 能 够 自动 地 完 
成 某 些 复杂 的 任务 。 事 实 表明 ， 图 形 界面 和 可 视 的 形式 化 方法 比 基 于 文本 的 工具 以 及 方法 更 有 
优势 。 

形式 化 方法 利用 多 种 形式 化 机 制 来 描述 系统 及 其 属性 。 要 根据 不 同情 况 选 择 适 当 的 机 制 ， 
比如 简洁 性 、 表 达能 力 以 及 有 效 算法 和 工具 的 可 用 性 等 。 选 择 规约 形式 化 机 制 需 要 权衡 上 述 因 
素 ， 例 如 ， 为 了 更 简洁 或 表达 人 性 更 好 可 能 会 牺牲 模 型 检验 算法 的 效率 ， 甚 至 会 将 自动 验证 过 程 降 
为 手动 的 演绎 验证 过 程 。 最 近 ， 新 的 形式 化 描述 技术 的 标准 化 工作 正在 进行 中 ， 其 中 包括 如 
SDL, LOTOS, UML 等 表示 方法 。 这 些 表示 方法 都 在 以 往 的 实践 基础 上 构造 ， 包 含 可 神化 和 文 
本 化 两 种 描述 方式 。 

对 该 研究 领域 而 言 ， 提 高 可 靠 性 工具 的 效率 是 一 个 永恒 的 挑战 。 未 来 形式 化 技术 可 能 会 出 
现 些 新 的 、 令 人 振奋 的 研究 方向 ， 例 如 对 安全 协议 进行 形式 化 验证 [123]。 这 是 受 不 断 增长 的 电 
子 商务 的 驱动 。 许 多 公司 和 金融 机 构 都 开始 通过 因特网 提供 大 量 的 网 络 服务 。 人 们 可 以 通过 家 
中 的 终端 系统 远程 地 购物 、 转 账 、 玩 游戏 。 银 行 账号 和 信用 卡 卡号 等 信息 的 存在 、 万 维 网 的 高 连 
通 性 ， 也 使 得 它们 成 为 犯罪 活动 的 目标。 这 些 新 的 应 用 和 挑战 都 在 推动 着 软件 可 靠 性 技术 和 工 
具 的 发 展 。 
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尊敬 的 老师 : 
您 好 ! 感谢 您 购买 我 们 出 版 的 教材 。 


机 械 工 业 出 版 社 华章 公司 为 了 进一步 加 强 与 高 校 教师 的 联系 与 沟通 ， 更 好 地 为 高 校 教师 服务 ， 特 
制 此 表 ， 请 您 填 妥 后 发 回 给 我 们 ， 我 们 将 定期 向 您 寄 送 华章 公司 最 新 的 图 书 出 版 信息 ! 感谢 合作 ! 
个 人 资料 (请 用 正楷 完整 填写 ) 
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填 妥 后 请 选择 以 下 任何 一 入 方式 将 此 表 返 回 ， (如 方便 请 赐 名 片 》 

地 dt: 北京 市 西城 区 百 万 庄 南 街 1 号 ”华章 公司 营销 中 心 — 邮编 ，100037 

电 话 ，(010) 68353079 88378995 传真 ，(010)68995260 

E-mail:hzedu@hzbook.com marketing@hzbook.com m= 详情 可 登录 http://www.hzbook.com 网 站 查询 
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